Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad de denegación de servicio en Xen

Fecha de publicación 27/01/2021
Importancia
4 - Alta
Recursos Afectados

Xen, versiones 4.12.3, 4.12.4 y todas las versiones 4.13.1 y siguientes.

Descripción

Xen ha informado de una vulnerabilidad en sistemas x86 en la que un invitado HVM con dispositivos PCI pass through puede agotar los recursos PCI disponibles de otros invitados o de todo el host, provocando una denegación de servicio.

Solución

Xen ha publicado un parche para las versiones 4.14 - 4.12 y para la versión unstable.

Detalle

La vulnerabilidad detectada solo afecta a los sistemas x86 que ejecutan invitados HVM con dispositivos PCI pass through. Un atacante podría forzar la asignación de todos los vectores IDT en el sistema, causando el agotamiento de los recursos PCI y causando así la denegación del servicio. Se ha asignado el identificador CVE-2021-3308 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias