Разработчики Xen Project не добавили исправления двух серьезных уязвимостей в состав последнего обновления для Xen – гипервизора, широко применяющегося в облачных сервисах типа Amazon Web Services и IBM SoftLayer. По словам создателей популярной платформы для виртуализации, причиной сложившейся ситуации стала их собственная невнимательность.
Исправления, присутствующие в бюллетенях безопасности XSA-155 и XSA-162, были добавлены в обновление 4.6.1 только частично. Ошибка была выявлена еще 11 февраля, однако разработчикам не удалось вовремя исправить ее. В обновлении от 15 февраля содержатся лишь частичные исправления.
В бюллетенях безопасности XSA-155 и XSA-162 присутствуют исправления для двух опасных уязвимостей, которые дают злоумышленникам возможность выполнять на целевой системе произвольный код. Уязвимости были зафиксированы в 2015 году. Уязвимость, описанная в бюллетене XSA-155, позволяла осуществлять DoS-атаку или выполнять произвольный код вследствие наличия в драйверах ошибки. Бюллетень XSA-162 содержит исправление уязвимости, позволявшей провоцировать переполнение буфера и осуществлять компрометацию системы.