低危 Xen 安全漏洞（CVE-2022-23960）

CVE编号

CVE-2022-23960

利用情况

暂无

补丁情况

N/A

披露时间

2022-03-10

漏洞描述

Xen是英国剑桥（Cambridge）大学的一款开源的虚拟机监视器产品。该产品能够使不同和不兼容的操作系统运行在同一台计算机上，并支持在运行时进行迁移，保证正常运行并且避免宕机。 目前暂无漏洞详情。

解决建议

目前厂商暂未发布修复措施解决此安全问题，建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法：https://vigilance.fr/vulnerability/ARM-Processor-information-disclosure-via-Branch-Predictor-Selectors-37740

参考链接
http://www.openwall.com/lists/oss-security/2022/03/18/2
https://developer.arm.com/support/arm-security-updates
https://developer.arm.com/support/arm-security-updates/speculative-processor-...
https://lists.debian.org/debian-lts-announce/2022/07/msg00000.html
https://packetstormsecurity.com/files/166243/Ubuntu-Security-Notice-USN-5318-1.html
https://vigilance.fr/vulnerability/ARM-Processor-information-disclosure-via-B...
https://www.auscert.org.au/bulletins/ESB-2022.0965
https://www.debian.org/security/2022/dsa-5173

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	系统	alibaba_cloud_linux_2.1903	kernel	*		Up to (excluding) 4.19.91-27.1.al7
	运行在以下环境
	系统	alpine_3.12	xen	*		Up to (excluding) 4.13.4-r3
	运行在以下环境
	系统	amazon_2	kernel	*		Up to (excluding) 4.14.268-205.500.amzn2
	运行在以下环境
	系统	amazon_2022	kernel	*		Up to (excluding) 5.15.25-14.106.amzn2022
	运行在以下环境
	系统	amazon_2023	kernel	*		Up to (excluding) 6.1.10-15.42.amzn2023
	运行在以下环境
	系统	amazon_AMI	kernel	*		Up to (excluding) 4.14.268-139.500.amzn1
	运行在以下环境
	系统	anolis_os_7	kernel	*		Up to (excluding) 4.19
	运行在以下环境
	系统	anolis_os_8	kernel	*		Up to (excluding) 4.19
	运行在以下环境
	系统	centos_8	kernel	*		Up to (excluding) 4.18.0-425.3.1.el8
	运行在以下环境
	系统	debian_10	linux	*		Up to (excluding) 4.19.249-2
	运行在以下环境
	系统	debian_11	linux	*		Up to (excluding) 5.10.106-1
	运行在以下环境
	系统	debian_12	linux	*		Up to (excluding) 5.16.14-1
	运行在以下环境
	系统	debian_9	linux	*		Up to (excluding) 4.9.320-2
	运行在以下环境
	系统	debian_sid	linux	*		Up to (excluding) 5.16.14-1
	运行在以下环境
	系统	kylinos_aarch64_V10SP2	kernel	*		Up to (excluding) 4.19.90-25.14.v2101.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10SP2	kernel	*		Up to (excluding) 4.19.90-25.14.v2101.ky10
	运行在以下环境
	系统	oracle_7	kernel	*		Up to (excluding) 5.4.17-2136.306.1.3.el7uek
	运行在以下环境
	系统	oracle_8	kernel	*		Up to (excluding) 4.18.0-425.3.1.el8
	运行在以下环境
	系统	redhat_8	kernel	*		Up to (excluding) 4.18.0-425.3.1.el8
	运行在以下环境
	系统	suse_12_SP5	kernel	*		Up to (excluding) 4.12.14-122.116.1
	运行在以下环境
	系统	ubuntu_18.04	linux-raspi-5.4	*		Up to (excluding) 5.4.0-117.132~18.04.1
	运行在以下环境
	系统	ubuntu_20.04	linux-ibm	*		Up to (excluding) 5.4.0-1065.75
	运行在以下环境
	系统	ubuntu_21.10	linux	*		Up to (excluding) 5.13.0-1017.19
	运行在以下环境
	系统	ubuntu_22.04	linux-azure-fde	*		Up to (excluding) 5.15.0-1002.3
	运行在以下环境
	系统	unionos_a	kernel	*		Up to (excluding) 4.19.0-91.82.141.uelc20
	运行在以下环境
	系统	unionos_c	kernel	*		Up to (excluding) 4.19.0-91.77.141.uelc20
	运行在以下环境
	系统	unionos_d	kernel	*		Up to (excluding) 4.19.90-5054
	运行在以下环境
	硬件	arm	cortex-a57	-	-
	运行在以下环境
	硬件	arm	cortex-a65	-	-
	运行在以下环境
	硬件	arm	cortex-a65ae	-	-
	运行在以下环境
	硬件	arm	cortex-a710	-	-
	运行在以下环境
硬件	arm	cortex-a72	-	-
运行在以下环境
硬件	arm	cortex-a73	-	-
运行在以下环境
硬件	arm	cortex-a75	-	-
运行在以下环境
硬件	arm	cortex-a76	-	-
运行在以下环境
硬件	arm	cortex-a76ae	-	-
运行在以下环境
硬件	arm	cortex-a77	-	-
运行在以下环境
硬件	arm	cortex-a78	-	-
运行在以下环境
硬件	arm	cortex-a78ae	-	-
运行在以下环境
硬件	arm	cortex-r7	-	-
运行在以下环境
硬件	arm	cortex-r8	-	-
运行在以下环境
硬件	arm	cortex-x1	-	-
运行在以下环境
硬件	arm	cortex-x2	-	-
运行在以下环境
硬件	arm	neoverse-e1	-	-
运行在以下环境
硬件	arm	neoverse-v1	-	-
运行在以下环境
硬件	arm	neoverse_n1	-	-
运行在以下环境
硬件	arm	neoverse_n2	-	-

阿里云评分 2.8

• 攻击路径 N/A
• 攻击复杂度 N/A
• 权限要求 N/A
• 影响范围 N/A
• EXP成熟度 N/A
• 补丁情况 N/A
• 数据保密性 N/A
• 数据完整性 N/A
• 服务器危害 N/A
• 全网数量 N/A

CWE-ID	漏洞类型
NVD-CWE-noinfo

Exp相关链接

- avd.aliyun.com