Vulnerabilidad en Xenstore (CVE-2022-42323)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
01/11/2022
Última modificación:
04/02/2024
Descripción
Xenstore: los invitados que cooperan pueden crear números arbitrarios de nodos. Este registro de información CNA se relaciona con múltiples CVE; el texto explica qué aspectos/vulnerabilidades corresponden a cada CVE.] Desde la corrección de XSA-322, cualquier nodo Xenstore propiedad de un dominio eliminado se modificará para que sea propiedad de Dom0. Esto permitirá que dos invitados maliciosos trabajen juntos para crear una cantidad arbitraria de nodos Xenstore. Esto es posible si el dominio A permite que el dominio B escriba en el árbol Xenstore local del dominio A. Luego, el dominio B puede crear muchos nodos y reiniciarse. Los nodos creados por el dominio B ahora serán propiedad de Dom0. Al repetir este proceso una y otra vez, se puede crear una cantidad arbitraria de nodos, ya que la cantidad de nodos de Dom0 no está limitada por la cuota de Xenstore.
Impacto
Puntuación base 3.x
5.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:xen:xen:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:11.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:35:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:36:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:37:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.openwall.com/lists/oss-security/2022/11/01/9
- http://xenbits.xen.org/xsa/advisory-419.html
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/YTMITQBGC23MSDHUCAPCVGLMVXIBXQTQ/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/YZVXG7OOOXCX6VIPEMLFDPIPUTFAYWPE/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/ZLI2NPNEH7CNJO3VZGQNOI4M4EWLNKPZ/
- https://security.gentoo.org/glsa/202402-07
- https://www.debian.org/security/2022/dsa-5272
- https://xenbits.xenproject.org/xsa/advisory-419.txt