Xenの脆弱性 ( XSA-200: CVE-2016-9932 ) — | サイオスOSS | サイオステクノロジー

Xenの脆弱性 ( XSA-200: CVE-2016-9932 )

12月13日にXenの脆弱性( XSA-200: CVE-2016-9932 )が公開されています。Xenの全バージョンに影響するものもあるため、今回は、このXenの脆弱性についてまとめてみます。

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

12月13日にXenの脆弱性( XSA-200: CVE-2016-9932 )が公開されています。Xenの全バージョンに影響するものもあるため、今回は、このXenの脆弱性についてまとめてみます。


Priority

Moderate

影響するバージョン

XSA-200/CVE-2016-9932
x86 CMPXCHG8BエミュレーションでのオペランドサイズOverride無視の失敗による、非特権ユーザのホストからのセンシティブ情報の取得

脆弱性概要(詳細はリンク先のサイトをご確認ください)

  • CVE-2016-9932
    • x86 CMPXCHG8BエミュレーションでのオペランドサイズOverride無視の失敗による非特権ユーザのホストからのセンシティブ情報の取得

    • CMPXCHG16Bエミュレーションはレガシーのオペランドサイズオーバーライドを無視することになっていますが、このCMPXCHG16Bエミュレーションサポートが命令に追加された時、実装に誤りが有りました。これにより、仮に無視されたサイズPrefixがゲストにより使われた時、小さな(64bitモードで実行されているゲストには96bit、それ以外は32bitのハイパーバイザースタックデータが他のゲストにリークする可能性が有ります。


主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください


対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。

また、Xenのバージョンを上げた時にはホストOSの再起動が発生しますので、pacemakerなどOSSのクラスタ製品LifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。

—–

タイトルとURLをコピーしました