Исправление бреши было опубликовано специалистами Xen Project до предварительного информирования вендоров об уязвимости.
В бюллетене безопасности указано, что брешью затронута лишь версия Xen 4.6. Причиной существования уязвимости является ошибка в операции HVM_PARAM_CALLBACK_IRQ подпараметра HVMOP_set_param функции HYPERVISOR_hvm_op. У злоумышленника есть возможность провести DoS-атаку, совершив множество попыток аутентификации.
Сейчас исправление для уязвимой версии Xen уже доступно.
Данную систему виртуализации широко применяют некоторые крупные облачные операторы, в том числе, инфраструктура веб-сервисов Amazon. Любые сведения об уязвимостях в программном обеспечении чрезвычайно важны для киберпреступников, которые таким образом получают новые возможности для кибератак на пользователей популярных облачных хостингов. Политика безопасности Xen Project была обновлена в октябре прошлого года. В ней предусматривается предварительное информирование вендоров до публичного обнародования обнаруженных проблем.
В Xen Project признали, что публикация патча в открытом доступе произошла раньше, чем было подтверждено наличие уязвимости.