← Tornar als articles
Seguretat· 2 min de lectura

Xen XSA-477 (CVE-2025-58150): desbordament de buffer en shadow paging amb tracing actiu

El 27 de gener de 2026 el projecte Xen va publicar l’avís de seguretat XSA-477, que documenta la vulnerabilitat CVE-2025-58150, qualificada de gravetat alta. La fallada és al codi de tracing de l’hipervisor quan treballa en mode shadow paging sobre arquitectura x86, i un hoste (guest) la pot fer servir per corrompre la memòria del mateix hipervisor.

Què és la vulnerabilitat

Xen porta un subsistema de traces que registra esdeveniments interns per a depuració i anàlisi de rendiment, amb eines com ara xentrace o xenbaked. Quan l’hipervisor fa servir shadow paging —el mecanisme de traducció de memòria per programari que entra en joc quan no hi ha paginació assistida per maquinari (HAP)— i el tracing està actiu, el codi que emet les traces escriu en variables per-CPU unes dades que el guest controla, i la mida de les quals també controla, sense comprovar bé els límits del buffer de destinació.

Aquesta manca de comprovació obre la porta a un desbordament de buffer (buffer overrun): el guest aconsegueix que s’escriguin més dades de les que cap al buffer per-CPU, esclafant memòria contigua de l’hipervisor.

A qui afecta

La vulnerabilitat afecta només:

  • Sistemes x86 (les plataformes ARM no estan afectades).
  • Hostes HVM executant-se en mode shadow paging.
  • Configuracions amb el tracing activat (per exemple mitjançant el paràmetre tbuf_size=, o amb xentrace/xenbaked en execució).

Els sistemes que fan servir HAP (paginació assistida per maquinari, l’habitual en CPU modernes) o que tenen el tracing apagat no són explotables per aquesta via. Les branques confirmades com a afectades són Xen 4.18.x i Xen 4.19.x.

Gravetat i impacte

L’impacte depèn de què hi hagi a la memòria contigua i de com s’hagi compilat l’hipervisor, així que el ventall és ampli:

  • En el millor cas, dades de traça errònies (bogus trace data).
  • En el pitjor cas, escalada de privilegis, divulgació d’informació sensible o denegació de servei de l’amfitrió.

Una fallada en l’hipervisor pot trencar l’aïllament entre màquines virtuals i el mateix amfitrió, i aquest escenari d’escalada de privilegis és el que justifica la severitat alta.

Mitigació i pedaç

El projecte Xen ofereix diverses vies de remediació:

  • Aplicar els pedaços oficials: xsa477.patch per a la branca 4.19.x i xsa477-4.18.patch per a la branca 4.18.x. És la solució definitiva.
  • Mitigacions temporals mentre s’aplica el pedaç:
    • Usar mode HAP en lloc de shadow paging quan el maquinari ho permeti.
    • Desactivar el tracing completament.
    • Aturar els processos xentrace/xenbaked i no reiniciar-los amb l’opció -x.

Si gestiones infraestructura de virtualització amb Xen, revisa’n la configuració, mira si combines shadow paging amb tracing i aplica els pedaços o les mitigacions com més aviat millor. Les distribucions que empaqueten Xen solen treure actualitzacions a partir d’aquests avisos, així que convé vigilar els repositoris de seguretat corresponents.

Font