現在位置: ホーム / セキュリティ ブログ / Xenの脆弱性 ( XSA-200: CVE-2016-9932 )

Xenの脆弱性 ( XSA-200: CVE-2016-9932 )

12月13日にXenの脆弱性( XSA-200: CVE-2016-9932 )が公開されています。Xenの全バージョンに影響するものもあるため、今回は、このXenの脆弱性についてまとめてみます。

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

12月13日にXenの脆弱性( XSA-200: CVE-2016-9932 )が公開されています。Xenの全バージョンに影響するものもあるため、今回は、このXenの脆弱性についてまとめてみます。



Priority

Moderate

影響するバージョン

XSA-200/CVE-2016-9932
x86 CMPXCHG8BエミュレーションでのオペランドサイズOverride無視の失敗による、非特権ユーザのホストからのセンシティブ情報の取得

脆弱性概要(詳細はリンク先のサイトをご確認ください)

  • CVE-2016-9932
    • x86 CMPXCHG8BエミュレーションでのオペランドサイズOverride無視の失敗による非特権ユーザのホストからのセンシティブ情報の取得

    • CMPXCHG16Bエミュレーションはレガシーのオペランドサイズオーバーライドを無視することになっていますが、このCMPXCHG16Bエミュレーションサポートが命令に追加された時、実装に誤りが有りました。これにより、仮に無視されたサイズPrefixがゲストにより使われた時、小さな(64bitモードで実行されているゲストには96bit、それ以外は32bitのハイパーバイザースタックデータが他のゲストにリークする可能性が有ります。


主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください


対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。

また、Xenのバージョンを上げた時にはホストOSの再起動が発生しますので、pacemakerなどOSSのクラスタ製品LifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。

OSSに関するお困りごとは サイオス OSSよろず相談室まで

サイオスOSSよろず相談室 では、OSSを利用する中で発生する問題に対し、長年培ってきた技術力・サポート力をもって企業のOSS活用を強力に支援します。Red Hat Enterprise Linux のほか、CentOS をご利用されている環境でのサポートも提供いたします。

OSSよろず相談室

サイオスOSSよろず相談室(2)

問い合わせボタン