Xen Project опубликовала бюллетени безопасности сразу для четырёх уязвимостей, затрагивающих гипервизор Xen. Проблемы получили идентификаторы XSA-491, XSA-492, XSA-493 и XSA-494, а также соответствующие номера CVE. Уязвимости позволяют потенциальному нарушителю повысить привилегии, вызвать отказ в обслуживании на уровне хоста или скомпрометировать конфиденциальность данных. Разработчики выпустили корректирующие патчи для всех поддерживаемых веток продукта.
XSA-491 (CVE-2026-42487): обход списка портов ввода-вывода в архитектуре x86
Первая уязвимость связана с обработкой операций ввода-вывода в гостевых системах HVM (аппаратно-виртуализированных) на платформе x86. Управление трансляцией портов ввода-вывода осуществляется моделью устройства через интерфейс XEN_DOMCTL_ioport_mapping. Как поясняется в бюллетене, связный список трансляций может изменяться в любой момент. При этом ранее отсутствовала необходимая синхронизация обхода этого списка во время обработки обращений гостевой системы. Потенциальная эксплуатация уязвимости способна привести к аварийному завершению работы гипервизора, что вызовет отказ в обслуживании всего хоста. В документе отмечается, что нельзя исключать повышение привилегий и утечку информации. Уязвимости подвержены все версии Xen, начиная как минимум с релиза 3.2, и только архитектура x86. Ограничение риска возможно путём отказа от запуска гостевых систем HVM в пользу паравиртуализированных (PV) или гостей PVH.
XSA-492 (CVE-2026-42489, CVE-2026-42490): уязвимости в системе блокировки domctl
Вторая группа проблем затрагивает механизм управления гостями через вызовы domctl (операции управления доменами). Они используются управляющим доменом, возможным доменом Xenstore или доменом, контролирующим конкретного гостя. Некоторые из таких операций не могут выполняться параллельно, поэтому применяется общесистемная блокировка. Как установили исследователи, способ захвата этой блокировки не обеспечивает справедливого доступа, что зафиксировано под CVE-2026-42489. Кроме того, в конфигурациях с XSM/Flask (модуль усиленной безопасности Xen) захват блокировки для некоторых операций происходит до проверки прав - это вторая уязвимость, CVE-2026-42490. Менее привилегированная сущность может заблокировать равно или более привилегированную сущность, потенциально вызывая отказ в обслуживании всего хоста. Уязвимыми считаются все версии Xen начиная с версии 3.3, более ранние выпуски также могут быть подвержены проблеме. Известных способов обхода не существует, поэтому установка патча обязательна. Разработчики предупреждают, что в патчах для последних версий также вносится корректировка политики Flask по умолчанию.
XSA-493 (CVE-2025-10263): аппаратная проблема в Arm-процессорах
Третья уязвимость имеет нестандартный характер: она связана с аппаратным дефектом, выявленным в определённых моделях микропроцессоров Arm. Суть проблемы в том, что на многоядерных конфигурациях широковещательная операция TLBI (инвалидация буфера ассоциативной трансляции) на одном ядре может завершиться до того, как затронутые операции записи памяти на другом ядре станут глобально видимыми. В результате возможен обход трансляции первого или второго уровня либо защиты GPT (таблица защиты гранул). Как указано в бюллетене, при выполнении ряда микроархитектурных условий гостевая система может эксплуатировать эту ошибку для записи в память, доступ к которой уже должен быть запрещён после изменения трансляции гипервизором. Это способно привести к повышению привилегий до уровня гипервизора. Список уязвимых процессоров включает модели Neoverse (от N1 до V3AE), Cortex (X925, X4, X3, X2, X1 и X1C, A710, A78 и производные, A77, A76 и A76AE), а также C1-Ultra и C1-Premium. Системы на архитектуре x86 данной проблеме не подвержены.
XSA-494 (CVE-2026-42488): несоответствие метаданных mapcache на x86
Четвёртая уязвимость характерна для 64-битных PV-гостей на архитектуре x86 при использовании теневого режима страниц (shadow mode). Проблема возникает в некоторых ошибочных путях обработки из-за того, что переключение таблиц страниц не приводит к обновлению ссылки на текущий виртуальный процессор (vCPU). В бюллетене поясняется, что это вызывает несоответствие между загруженными таблицами страниц и метаданными mapcache (промежуточный кэш отображения памяти гостя). Следствием такого несоответствия может стать повреждение mapcache. Потенциальные последствия включают повышение привилегий, отказ в обслуживании всего хоста и утечку информации. Уязвимы версии Xen 4.15 и новее, а также любые версии, в которые был включён патч для XSA-438. Затронуты только системы x86. В качестве альтернативы установке патча можно отказаться от запуска PV-гостей в теневом режиме или использовать PV shim (изолированную среду исполнения для PV-гостей).
В официальных бюллетенях команда Xen Project отмечает, что применение выпущенных патчей разрешено в период эмбарго, однако распространение обновлённого программного обеспечения до официального релиза запрещено для лиц, не входящих в список предварительного уведомления. Пользователям и поставщикам систем виртуализации на базе Xen настоятельно рекомендуется как можно скорее оценить степень воздействия перечисленных уязвимостей на свою инфраструктуру и установить соответствующие исправления. Поскольку некоторые из уязвимостей не имеют обходных путей, промедление с обновлением создаёт прямой риск компрометации хост-системы, включая возможную утечку данных и полный отказ в обслуживании.
Ссылки
- https://xenbits.xen.org/xsa/advisory-491.html
- https://xenbits.xen.org/xsa/advisory-492.html
- https://xenbits.xen.org/xsa/advisory-493.html
- https://xenbits.xen.org/xsa/advisory-494.html
