As vulnerabilidades XSA-491, XSA-492, XSA-493 e XSA-494 afetam o Xen Hypervisor em sistemas Fedora. Aprenda a verificar se seu sistema está vulnerável, aplicar a correção com um script automatizado e implementar mitigações alternativas. Guia completo para administradores de sistemas Linux.
O Que Está Acontecendo?
Em junho de 2026, a equipe de segurança do Xen Project divulgou quatro vulnerabilidades críticas que afetam o Xen Hypervisor em versões que vão desde o Xen 3.2 até versões mais recentes.
Embora a divulgação tenha ocorrido em uma data específica, o conhecimento sobre essas falhas e suas correções permanece relevante por anos — todo administrador de sistemas que utiliza virtualização Xen precisa conhecer esses riscos e saber como se proteger.
Como Verificar se Você Está Vulnerável
Verifique a versão do Xen instalada
rpm -q xen
sudo xl info | grep xen_version
Verifique se o sistema é x86 ou Arm
uname -m
Verifique se há VMs HVM em execução (para XSA-491)
sudo xl list | grep -v "^Domain-0"
sudo xl domid <domid>
Verifique se o shadow mode está ativo (para XSA-494)
sudo xl dmesg | grep -i shadow
Verifique se o patch já foi aplicado
rpm -q --changelog xen | grep -E "XSA-491|XSA-492|XSA-493|XSA-494|CVE-2026-42487|CVE-2026-42489|CVE-2026-42490|CVE-2025-10263|CVE-2026-42488"
Script de Automação para Aplicar a Correção
Salve o script abaixo como fix-xen-vulns.sh e execute com privilégios de root:
#!/bin/bash # fix-xen-vulns.sh - Script para aplicar correções das vulnerabilidades XSA-491/492/493/494 no Fedora # Uso: sudo ./fix-xen-vulns.sh set -e RED='\033[0;31m' GREEN='\033[0;32m' YELLOW='\033[1;33m' NC='\033[0m' echo -e "${YELLOW}=== Verificando vulnerabilidades do Xen Hypervisor ===${NC}" # Verifica se o usuário é root if [[ $EUID -ne 0 ]]; then echo -e "${RED}Este script deve ser executado como root. Use sudo.${NC}" exit 1 fi # Verifica se o Xen está instalado if ! rpm -q xen &>/dev/null; then echo -e "${RED}Xen não está instalado neste sistema. Nada a fazer.${NC}" exit 0 fi CURRENT_VERSION=$(rpm -q --qf "%{VERSION}-%{RELEASE}" xen) echo -e "${YELLOW}Versão atual do Xen: ${CURRENT_VERSION}${NC}" # Verifica se o patch já foi aplicado if rpm -q --changelog xen | grep -qE "XSA-491|XSA-492|XSA-493|XSA-494"; then echo -e "${GREEN}✓ As correções já estão aplicadas nesta versão.${NC}" exit 0 fi echo -e "${YELLOW}⚠ Vulnerabilidades detectadas. Aplicando atualização...${NC}" # Faz backup da configuração atual BACKUP_DIR="/root/xen-backup-$(date +%Y%m%d-%H%M%S)" mkdir -p "$BACKUP_DIR" cp -r /etc/xen "$BACKUP_DIR/" 2>/dev/null || true echo -e "${GREEN}✓ Backup salvo em $BACKUP_DIR${NC}" # Aplica a atualização via DNF echo -e "${YELLOW}Atualizando o pacote xen...${NC}" dnf upgrade --advisory FEDORA-2026-24b84f97af -y # Verifica se a atualização foi bem-sucedida NEW_VERSION=$(rpm -q --qf "%{VERSION}-%{RELEASE}" xen) if [[ "$CURRENT_VERSION" != "$NEW_VERSION" ]]; then echo -e "${GREEN}✓ Atualização aplicada com sucesso!${NC}" echo -e "${GREEN} Versão anterior: $CURRENT_VERSION${NC}" echo -e "${GREEN} Nova versão: $NEW_VERSION${NC}" else echo -e "${RED}✗ A versão não mudou. Verifique se o advisory está disponível.${NC}" fi # Verifica novamente se o patch está presente if rpm -q --changelog xen | grep -qE "XSA-491|XSA-492|XSA-493|XSA-494"; then echo -e "${GREEN}✓ Patch confirmado no changelog.${NC}" else echo -e "${YELLOW}⚠ O changelog não menciona os XSAs. Verifique manualmente.${NC}" fi # Recomenda reinicialização echo -e "${YELLOW}⚠ Recomenda-se reiniciar o sistema para que as mudanças entrem em vigor.${NC}" read -p "Deseja reiniciar agora? (s/N) " -n 1 -r echo if [[ $REPLY =~ ^[Ss]$ ]]; then echo -e "${YELLOW}Reiniciando o sistema...${NC}" reboot else echo -e "${YELLOW}Lembre-se de reiniciar o sistema manualmente quando possível.${NC}" fi
chmod +x fix-xen-vulns.sh sudo ./fix-xen-vulns.sh
📗 Recomendação de Leitura
Segurança em servidores Linux: Ataque e Defesa (anúncio) -> https://amzn.to/4g9NqMz
Se você prefere estudar em português e quer aprender a "pensar como um hacker" para se antecipar a invasões, essa é a pedida! O livro ensina a usar as ferramentas prediletas dos invasores (como Nmap e Netcat) a seu favor, blindando seus sistemas.
Eu ganho uma comissão quando você faz uma compra.
Se você não puder aplicar a atualização imediatamente, existem mitigações específicas para cada vulnerabilidade:
Para o XSA-491 (x86 HVM I/O port list traversal)
A mitigação recomendada é executar apenas convidados PV (paravirtualizados) ou PVH. Para converter ou evitar HVM:
# Liste todas as VMs e seus tipos sudo xl list -l | grep -E "domid|name|hvm" # Para VMs HVM, considere migrar para PV ou PVH se possível # Consulte a documentação do Xen para conversão
Para o XSA-492 (domctl lock abuse)
Não há mitigação conhecida. A única solução é aplicar o patch.
Para o XSA-493 (Arm: TLBI)
A correção requer patch no hypervisor. Não há mitigação por software que resolva completamente o problema.
.
Para o XSA-494 (mapcache metadata)
# Desative shadow mode se não for necessário para migração # Isso pode ser feito no arquivo de configuração da VM: # shadow_memory = 0
Nenhum comentário:
Postar um comentário