A Secretaria Federal de Segurança em Tecnologia da Informação (BSI) emitiu um comunicado de segurança para Xen em 31 de janeiro de 2024. O software contém diversas vulnerabilidades que podem ser exploradas por invasores. A vulnerabilidade de segurança afeta os sistemas operacionais UNIX e Linux, bem como Fedora Linux, SUSE Linux e produtos de código aberto Xen.

As recomendações mais recentes do fabricante para atualizações, correções e patches de segurança para esta vulnerabilidade podem ser encontradas aqui: Aviso de segurança de campo XEN (Em 30 de janeiro de 2024). Outros recursos úteis podem ser encontrados posteriormente neste artigo.

Múltiplas vulnerabilidades relatadas para Xen – Risco: Baixo

Nível de risco: 3 (baixo)
Pontuação básica do CVSS: 4,1
Pontuação temporária do CVSS: 3,6
Ataque à distância: não

O Common Vulnerability Scoring System (CVSS) é usado para avaliar a gravidade das vulnerabilidades de segurança em sistemas de computador. O CVSS permite comparar vulnerabilidades de segurança potenciais ou reais com base em várias métricas para criar uma lista de prioridades para a tomada de contramedidas. Os atributos “nenhum”, “baixo”, “médio”, “alto” e “crítico” são usados ​​para determinar os níveis de gravidade de uma vulnerabilidade. A pontuação básica avalia os requisitos de um ataque (incluindo autenticação, complexidade, privilégios, interação do usuário) e suas consequências. A pontuação temporal também leva em conta a evolução da situação de perigo ao longo do tempo. De acordo com o CVSS, a ameaça da vulnerabilidade discutida aqui é classificada como “baixa”, com uma pontuação base de 4,1.

Bug do Xen: Resumo das vulnerabilidades relatadas

A plataforma de distribuição ou código aberto.

Um invasor local poderia explorar diversas vulnerabilidades no Xen para divulgar informações ou contornar medidas de segurança.

A vulnerabilidade é identificada com números de identificação exclusivos de Vulnerabilidades e Exposições Comuns (CVE). CVE-2023-46839 e CVE-2023-46840 negociado.

Visão geral dos sistemas afetados pela vulnerabilidade Xen

Sistemas operacionais
UNIX,Linux

Alguns produtos
Fedora Linux (cpe:/o:fedoraproject:fedora)
SUSE Linux (cpe:/o:suse:suse_linux)
Xen de código aberto Xen de código aberto Xen 4.17.x Xen de código aberto Xen 4.17.x

Recomendações gerais para remediar vulnerabilidades de segurança de TI

1. Os usuários dos aplicativos afetados devem mantê-los atualizados. Quando as vulnerabilidades de segurança são conhecidas, os fabricantes são obrigados a resolvê-las o mais rápido possível, desenvolvendo um patch ou solução. Se novas atualizações de segurança estiverem disponíveis, instale-as imediatamente.
2. Consulte os recursos na próxima seção para obter mais informações. Muitas vezes contêm informações adicionais sobre a versão mais recente do software em questão, a disponibilidade de patches de segurança ou conselhos sobre soluções.
3. Se você tiver alguma dúvida ou preocupação, entre em contato com o administrador responsável. Os gerentes de segurança de TI devem verificar regularmente os recursos listados para ver se uma nova atualização de segurança está disponível.

Fontes de atualizações, correções e soluções

Aqui você encontrará outros links com informações sobre relatórios de bugs, correções de segurança e soluções alternativas.

Aviso de segurança XEN datado de 30/01/2024 (31.01.2024)
Para mais informações, veja: