PT-2022-7334 · Xen+1 · Xenstore+1
Jürgen Groß
·
Publicado
2022-11-01
·
Atualizado
2024-02-04
·
CVE-2022-42320
CVSS v3.1
7.0
Alta
| Vetor | AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Xenstore (versões afetadas não especificadas)
Descrição
O problema está relacionado ao componente Xenstore do hipervisor Xen, no qual os sistemas convidados podem obter acesso aos nós do Xenstore de domínios excluídos devido à limpeza incompleta de recursos temporários ou auxiliares. Isso pode levar ao acesso não autorizado a informações protegidas, à escalada de privilégios ou à negação de serviço. O problema ocorre quando um novo domínio é criado com o mesmo domid de um domínio removido anteriormente, e há um pequeno intervalo de tempo em que os direitos de acesso do domínio anterior ainda são considerados válidos. Para que isso aconteça, outro domínio precisa gravar no nó antes que o domínio recém-criado seja introduzido no Xenstore pelo dom0.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Suse
Xenstore