Xen Security Advisory XS-A92 漏洞概述 CVE编号: CVE-2026-42489 发布日期: 2026-06-09 更新日期: 2026-09-12 版本: 3 标题: 防止锁被滥用 影响范围 受影响系统: 所有 Xen 版本从 3.3 开始,包括早期版本使用不同的锁定操作,但可能同样受影响。 修复方案 补丁文件: 提供了多个补丁文件,适用于不同版本的 Xen,例如 到 。 应用补丁: 建议应用适当的补丁集,包括 0 和 41 补丁,以调整默认的 Flask 策略。当使用自定义策略时,可能需要额外调整。 分支更新: 补丁已准备好应用于稳定分支,但不应用于最新公共发布分支。下游发行版被鼓励更新到稳定分支的顶部,然后再应用补丁。 补丁应用示例 其他信息 问题描述: 为了创建和管理虚拟机,控制域中的操作可能以并行方式执行,但未使用系统级锁,导致不公平性。 影响: 低权限实体可能使高权限实体陷入困境,导致拒绝服务。 缓解措施: 无已知缓解措施。 信用: 由 Citrix 的 Andrew Cooper 发现。 决议: 应用适当的补丁集,包括 0 和 41 补丁,以调整默认的 Flask 策略。 部署期间 embargo 部署限制: 在 embargo 期间,仅允许部署补丁和缓解措施,除非是预发布列表成员。 预发布列表: 预发布列表成员可以部署显著不同的补丁或缓解措施,需联系 Xen 项目安全团队。 embargo 解除: 在 embargo 解除后,Xen 项目通知将保留,但不再适用。目的是让 Xen 项目安全团队监督。 更多信息 许可部署: 有关许可部署的更多信息,请参阅 Xen 项目社区的同意安全政策:http://www.xenproject.org/security-policy.html 签名 签名: 由 Xen 项目安全团队签名。