阿里云漏洞库

漏洞描述

Xen是一个开放源代码虚拟机监视器，由剑桥大学开发。它打算在单个计算机上运行多达101个满特征的操作系统。

Xen存在拒绝服务漏洞，该漏洞是由Xen调试触发器异常所致，攻击者可利用该漏洞在主机系统上导致拒绝服务条件。

解决建议

厂商已发布了漏洞修复程序，请及时关注更新：
http://xenbits.xen.org/xsa/advisory-265.html

参考链接
http://www.openwall.com/lists/oss-security/2018/06/27/11
http://www.securityfocus.com/bid/104572
http://www.securitytracker.com/id/1041202
http://xenbits.xen.org/xsa/advisory-265.html
https://bugzilla.redhat.com/show_bug.cgi?id=1590979
https://lists.debian.org/debian-lts-announce/2018/11/msg00013.html
https://security.gentoo.org/glsa/201810-06
https://support.citrix.com/article/CTX235748
https://www.debian.org/security/2018/dsa-4236

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	系统	alpine_3.10	xen	*		Up to (excluding) 4.11.0-r0
	运行在以下环境
	系统	alpine_3.11	xen	*		Up to (excluding) 4.11.0-r0
	运行在以下环境
	系统	alpine_3.12	xen	*		Up to (excluding) 4.11.0-r0
	运行在以下环境
	系统	alpine_3.13	xen	*		Up to (excluding) 4.11.0-r0
	运行在以下环境
	系统	alpine_3.14	xen	*		Up to (excluding) 4.11.0-r0
	运行在以下环境
	系统	alpine_3.15	xen	*		Up to (excluding) 4.11.0-r0
	运行在以下环境
	系统	alpine_3.16	xen	*		Up to (excluding) 4.11.0-r0
	运行在以下环境
	系统	alpine_3.17	xen	*		Up to (excluding) 4.11.0-r0
	运行在以下环境
	系统	alpine_3.18	xen	*		Up to (excluding) 4.11.0-r0
	运行在以下环境
	系统	alpine_3.19	xen	*		Up to (excluding) 4.11.0-r0
	运行在以下环境
	系统	alpine_3.5	xen	*		Up to (excluding) 4.7.6-r0
	运行在以下环境
	系统	alpine_3.6	xen	*		Up to (excluding) 4.8.4-r0
	运行在以下环境
	系统	alpine_3.7	xen	*		Up to (excluding) 4.9.3-r0
	运行在以下环境
	系统	alpine_3.8	xen	*		Up to (excluding) 4.10.1-r3
	运行在以下环境
	系统	alpine_3.9	xen	*		Up to (excluding) 4.11.0-r0
	运行在以下环境
	系统	debian	debian_linux	9.0	-
	运行在以下环境
	系统	debian_10	xen	*		Up to (excluding) 4.8.3+xsa267+shim4.10.1+xsa267-1+deb9u9
	运行在以下环境
	系统	debian_11	xen	*		Up to (excluding) 4.8.3+xsa267+shim4.10.1+xsa267-1+deb9u9
	运行在以下环境
	系统	debian_12	xen	*		Up to (excluding) 4.8.3+xsa267+shim4.10.1+xsa267-1+deb9u9
	运行在以下环境
	系统	fedora_27	xen-doc	*		Up to (excluding) 4.9.2-6.fc27
	运行在以下环境
	系统	fedora_28	xen-doc	*		Up to (excluding) 4.10.1-5.fc28
	运行在以下环境
	系统	opensuse_Leap_15.0	xen	*		Up to (excluding) 4.10.1_06-lp150.2.6.1
	运行在以下环境
	系统	opensuse_Leap_42.3	xen	*		Up to (excluding) 4.9.2_08-25.2
	运行在以下环境
	系统	suse_11_SP4	xen	*		Up to (excluding) 4.4.4_34_3.0.101_108.57-61.32.1
	运行在以下环境
	系统	suse_12_SP3	xen	*		Up to (excluding) 4.9.2_08-3.35.2
	运行在以下环境
	系统	xen	xen	*		Up to (including) 4.10.0

攻击路径

本地
攻击复杂度

复杂
权限要求

普通权限
影响范围

越权影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

无影响
全网数量

100

CWE-ID	漏洞类型
NVD-CWE-noinfo

中危 Xen 4.6.x/4.7.x/4.8.x/4.9.x/4.10.x Debug Exception Trigger Crash 拒绝服务漏洞

漏洞描述

解决建议

参考链接

受影响软件情况