← Tornar als articles
Seguretat· 3 min de lectura

Quatre avisos de Xen (XSA-491 a XSA-494): corrupció de memòria per mapcache i caiguda de l'hipervisor

Una mano sosteniendo un candado, símbolo de la ciberseguridad
Foto: Nathan Thomas · Pexels

El 9 de juny de 2026 el projecte Xen va publicar quatre avisos de seguretat de cop, numerats de XSA-491 a XSA-494. Afecten l’hipervisor en x86 i, en un cas, també ARM. Si gestiones hosts de virtualització amb Xen, val la pena mirar-te cadascun amb calma perquè les condicions d’exposició són diferents.

XSA-494 (CVE-2026-42488): metadades de mapcache descquadrades

És el més seriós dels quatre. L’avís el titula “x86: mismatched mapcache metadata”. El problema és a les rutes d’error del shadow paging: quan es canvien les taules de pàgines, aquestes rutes no actualitzen correctament les referències del vCPU. Això deixa un descquadrament entre les taules de pàgines carregades i les metadades del mapcache, i a partir d’aquí pot haver-hi corrupció de memòria.

L’impacte que reconeix l’avís és triple: escalada de privilegis, denegació de servei de tot el host i fuga d’informació. La part tranquil·litzadora és que les condicions són estretes. Només es veuen afectats els convidats PV de 64 bits executant-se en mode shadow, una configuració que s’usa durant la migració de convidats o com a solució alternativa de XSA-273. Són vulnerables Xen 4.15 i posteriors, en concret qualsevol versió amb l’arranjament de XSA-438 aplicat.

Si no fas servir shadow mode amb PV de 64 bits, no estàs exposat. Com a mitigació, el projecte suggereix desplegar només convidats HVM o PVH, o executar els convidats PV dins del shim PV. Qubes OS, per exemple, no es veu afectat perquè deshabilita el shadow paging en temps de compilació.

XSA-491 (CVE-2026-42487): recorregut de la llista de ports d’E/S en HVM

El segon avís rellevant es titula “x86 HVM I/O port list traversal”. Aquí un device model que controla convidats HVM pot provocar la caiguda de l’hipervisor, amb denegació de servei per a tot el host. L’avís no descarta escalada de privilegis ni fuga d’informació.

La causa: els mapatges de ports d’E/S del device model fan servir llistes enllaçades que es poden modificar en qualsevol moment mitjançant crides a XEN_DOMCTL_ioport_mapping. El recorregut d’aquestes llistes per part de l’hipervisor no se sincronitza amb les actualitzacions, i aquesta sincronització faltava fins ara. Per explotar-ho cal control d’un device model que corri en stub domains o en un Dom0 desprivilegiat.

Són vulnerables totes les versions des de Xen 3.2 en endavant; les anteriors no s’han revisat. Només afecta x86 i només convidats HVM. Executar exclusivament convidats PV o PVH evita el problema. És l’únic dels quatre que afecta Qubes OS, cobert al seu butlletí QSB-115.

XSA-492 i XSA-493

Els altres dos avisos del mateix dia són de menor abast. XSA-492 es classifica com a denegació de servei únicament. XSA-493 afecta només sistemes ARM, motiu pel qual Qubes OS, que no corre en ARM, en queda fora.

Què fer

Aplica els pedaços del projecte Xen. Per a XSA-494 hi ha pedaços per a xen-unstable i les branques estables de 4.17.x a 4.21.x; per a XSA-491, els fitxers xsa491.patch (xen-unstable) i xsa491-4.21.patch (de 4.21.x a 4.17.x). Si la teva instal·lació només fa servir convidats HVM o PVH, XSA-494 no et toca; si només fas servir PV o PVH, XSA-491 tampoc. Val la pena confirmar la teva configuració abans de donar per fet que estàs fora de perill.

No és el primer cop que el shadow paging de Xen dona problemes. A principis de 2026 ja hi va haver un cas semblant amb Xen XSA-477 (CVE-2025-58150), un desbordament de buffer al codi de tracing amb shadow paging actiu.

Font