PT-2021-4064 · Xen+1 · Xen+1

Julien Grall

·

Publicado

2021-03-10

·

Atualizado

2021-09-21

·

CVE-2021-28693

CVSS v3.1

5.5

Média

VetorAV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Nome do software vulnerável e versões afetadas
Xen (versões afetadas não especificadas)
Descrição
O problema está relacionado ao hipervisor Xen em plataformas Arm, onde módulos de inicialização, como o kernel e o initramfs, não são devidamente limpos. Isso poderia permitir que um invasor acessasse dados confidenciais. O bootloader carrega esses módulos em uma área temporária antes que eles sejam copiados para a memória de cada domínio pelo Xen. Para evitar vazamento de dados, o Xen deve limpar esses módulos antes de alocar as páginas. No entanto, verificou-se que essa limpeza não ocorre em plataformas Arm.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Information Disclosure

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-200

Identificadores relacionados

BDU:2021-04605
CVE-2021-28693
OPENSUSE-SU-2021:1236-1
OPENSUSE-SU-2021:2923-1
OPENSUSE-SU-2021_1236-1
OPENSUSE-SU-2021_2923-1
SUSE-SU-2021:2922-1
SUSE-SU-2021:2923-1
SUSE-SU-2021:2924-1
SUSE-SU-2021:2925-1

Produtos afetados

Suse
Xen