PT-2021-4229 · Linux · Linux Kernel
Marek Marczykowski-Górecki
·
Publicado
2021-03-03
·
Atualizado
2024-03-25
·
CVE-2021-28039
CVSS v3.1
6.5
Média
| Vetor | AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do kernel Linux 5.9.x a 5.11.3
Descrição
O problema está relacionado ao uso indevido de endereços físicos do convidado quando uma configuração possui CONFIG XEN UNPOPULATED ALLOC, mas não CONFIG XEN BALLOON MEMORY HOTPLUG, permitindo que um usuário do sistema operacional convidado x86 PV cause uma falha no Dom0 ou no domínio do driver por meio de uma grande quantidade de atividade de E/S em algumas configurações menos comuns. Isso pode levar a uma negação de serviço.
Recomendações
Para as versões do kernel Linux 5.9.x a 5.11.3, considere desativar a opção de configuração
CONFIG XEN UNPOPULATED ALLOC ou ativar a opção CONFIG XEN BALLOON MEMORY HOTPLUG como uma solução temporária para minimizar o risco de exploração.No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Linux Kernel