Skriptfehler öffnet Sicherheitslücke in Xen 3.0.3

- 04. Oktober 2007

Ein Red-Hat-Update soll verschiedene Sicherheitslücken in der Virtualisierungslösung Xen schließen, eine davon besteht aus einem Fehler in einem Python-Skript.

Der Fehler mit der Nummer CVE-2007-4993 befindet sich im Skript tools/pygrub/src/GrubConf.py und wurde von Joris van Rantwijk gefunden. Der Sicherheitsdienstleister Secunia stuft die Lücke als weniger kritisch ein. Sie kann durch Manipulation des Bootloaders Grub ausgenutzt werden. In Folge dessen lassen sich beliebige Befehle in der Domain 0 ausführen, die auch Zugriff auf die Hardware hat.

Einen weiteren Fehler (CVE-2007-1320) hat Tavis Ormandy gefunden. Der Bug löst einen Heap-Overflow bei Video-to-Video-Kopier-Aktionen in der Cirrus-VGA-Erweiterung aus. Ein Administrator einer Gastdomain kann diesen unter Umständen dazu ausnutzen, Schadcode außerhalb der eigenen Domain auszuführen.

Die dritte ebenfalls von Ormandy entdeckte Sicherheitslücke (CVE-2007-1321) erzeugt einen Heap Overflow im Xen NE2000 Netzwerktreiber. Ist dieser in Gebrauch, kann auch hier ein lokaler Administrator beliebigen Schadcode in anderen Domains ausführen. Der Entwickler weist darauf hin, dass Xen den fehlerhaften Treiber nicht standardmäßig nutzt.

Alle drei gefundenen Sicherheitslücken schließt Red Hat mit einem Update. Betroffen ist die Version 3.0.3 von Xen. Unklar ist, ob auch andere Versionen die Schwachstellen enthalten. Xen-Benutzer sollten ihre Installationen schnellstmöglich aktualisieren. Andere Updates als das von Red Hat liegen derzeit noch nicht vor.

Linux-Kommandozeilentools kommen für Windows

Mit den "Coreutils for Windows" stellt Microsoft ein Set von Kommandozeilenwerkzeugen - dieselben wie unter Linux, MacOS oder WSL - bereit, das nativ unter Windows ausgeführt werden kann.

KI-Modelle lernen mit Open-Source-Daten Diagramme zu lesen

Das neue Trainingsdatenset ChartNet, entworfern von Forschern des MIT und des MIT-IBM Computing Research Lab, könnte die Genauigkeit von Vision-Language-Modellen (VLM) verbessern, die bei der Analyse von Geschäftstrends oder der Interpretation wissenschaftlicher Abbildungen helfen.

Trump unterzeichnet Anordnung zur Überprüfung von KI-Modellen

Die Anordnung stellt eine Abkehr von der bisher vom Weißen Haus gegenüber KI verfolgten zurückhaltenden Haltung dar. Sie folgt auf Debatten darüber, wie man die Kontrolle über KI-Modelle erlangen könne, ohne dabei die Innovation zu behindern.

Vim Classic in erster Version erschienen

Vim Classic ist einer von zwei Vim-Forks (der andere ist EVi), die sich auf die Fahnen geschrieben haben, ganz ohne KI-Unterstützung entwickelt zu werden. Vim Classic geht auf Vim 8.2.0148 zurück (EVi dagegen auf Vim 9.10 mit dem neuen Vim9-Script-Feature) und ist nun in der ersten Version 8.3...

Flathub verbietet KI-generierte Inhalte aller Art

Flathub, das zentrale Repository für Flatpak-Apps, hat eine neue Policy eingeführt, der zufolge KI-generierte oder -assistierte Inhalte verboten sind.

Anthropic beantragt Börsengang

Anthropic, das KI-Unternehmen hinter dem Chatbot Claude, hat vertraulich einen Antrag auf einen Börsengang eingereicht.

E-Mail Benachrichtigung

0 Kommentare

Älteste

Neuste Beste Bewertung

Inline Feedbacks

Alle Kommentare anzeigen