В обновлении для Xen отсутствуют исправления 2х уязвимостей

Разработчики Xen Project не включили два важных исправления безопасности в состав последнего обновления для Xen. Как объяснили создатели популярного виртуализационного ПО в блоге Xen, инцидент произошел по недосмотру разработчиков.

Исправления, внесенные в бюллетенях безопасности XSA-155 и XSA-162, были лишь частично применены к обновлению 4.6.1. Разработчики обнаружили ошибку еще в четверг, 11 февраля, но не смогли вовремя скорректировать неисправность. Выпущенное в понедельник, 15 февраля, обновление содержит лишь частичные исправления.

Бюллетени безопасности XSA-155 и XSA-162 исправляют две опасные уязвимости, позволяющие выполнить произвольный код на целевой системе. Ошибки были обнаружены в прошлом году. Описанная в бюллетене XSA-155 уязвимость позволяла осуществить DoS-атаку или выполнить произвольный код из-за ошибки в паравиртуализованных драйверах. В бюллетене XSA-162 была исправлена уязвимость, позволявшая вызвать переполнение буфера и скомпрометировать систему.