检测

FreeBSD:xen-tools -- libxl 无法遵照使用 qemu-xen 的磁盘上的只读标记 (301b04d7-881c-11e5-ab94-002590263bf5)

low Nessus 插件 ID 86835

语言:

简介

远程 FreeBSD 主机缺少与安全相关的更新。

描述

Xen Project 报告:

libxl 的调用者可指定磁盘应对访客只读。但是,libxl 中没有可将此信息传递给 qemu-xen(基于上游的 qemu)的代码;事实上,qemu 中不存在将磁盘设为只读的方法。

仅可通过设备模型模拟的设备,而不是支持 PVHVM 的并行 PV 设备,来利用此漏洞。
通常,PVHVM 设备拔出协议会使模拟设备在启动开始时不可访问。

恶意访客管理员或(在某些情况下)用户或许能够写入到本应为只读的磁盘映像。

CDROM 设备(即,被指定作为 CDROM 呈现给访客的设备,不论主机上的备份存储器性质如何)不受影响。

解决方案

更新受影响的程序包。

另见

http://xenbits.xen.org/xsa/advisory-142.html

http://www.nessus.org/u?0bf48876

插件详情

严重性: Low

ID: 86835

文件名: freebsd_pkg_301b04d7881c11e5ab94002590263bf5.nasl

版本: 2.4

类型: local

发布时间: 2015/11/11

最近更新时间: 2021/1/6

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 4.2

CVSS v2

风险因素: Low

基本分数: 3.6

矢量: CVSS2#AV:L/AC:L/Au:N/C:N/I:P/A:P

漏洞信息

CPE: p-cpe:/a:freebsd:freebsd:xen-tools, cpe:/o:freebsd:freebsd

必需的 KB 项: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

补丁发布日期: 2015/11/11

漏洞发布日期: 2015/9/22

参考资料信息

CVE: CVE-2015-7311