Taorian'ny taona fampandrosoana dia navoaka ny hypervisor Xen 4.17 maimaim-poana. Ny orinasa toa an'i Amazon, Arm, Bitdefender, Citrix, EPAM Systems ary Xilinx (AMD) dia nandray anjara tamin'ny fampandrosoana ny famoahana vaovao. Ny famokarana fanavaozana ho an'ny sampana Xen 4.17 dia haharitra hatramin'ny 12 jona 2024, ary ny famoahana ny famahana ny vulnerability hatramin'ny 12 desambra 2025.
Fanovana lehibe amin'ny Xen 4.17:
- Ny fanarahan-dalàna amin'ny ampahany dia omena amin'ny fepetra takiana amin'ny fampivoarana programa azo antoka sy azo itokisana amin'ny fiteny C, voavolavola ao amin'ny fepetra MISRA-C ampiasaina amin'ny famoronana rafitra mitsikera iraka. Xen dia mampihatra amin'ny fomba ofisialy ny torolàlana 4 sy ny fitsipika 24 MISRA-C (amin'ny fitsipika 143 sy ny torolàlana 16), ary mampiditra ny mpanadihady static MISRA-C amin'ny fizotran'ny fivoriambe, izay manamarina ny fanarahana ny fepetra takiana.
- Manome fahafahana hamaritana ny Xen static ho an'ny rafitra ARM, izay mamaritra ny loharanon-karena rehetra ilaina mba handroahana ny vahiny mialoha. Ny loharanon-karena rehetra, toy ny fahatsiarovana iombonana, fantsona fampahafantarana hetsika, ary habaka amboara hypervisor, dia atolotra mialoha amin'ny fanombohana hypervisor fa tsy atokana amin'ny fomba mavitrika, manafoana ny tsy fahombiazana mety hitranga noho ny tsy fahampian'ny loharano mandritra ny fandidiana.
- Ho an'ny rafitra napetraka miorina amin'ny maritrano ARM, dia nampiharina ny fanohanan'ny fanandramana (fahitana ara-teknika) ho an'ny virtoaly I/O amin'ny alàlan'ny protocols VirtIO. Ny fitaterana virtio-mmio dia ampiasaina amin'ny fifanakalozana angona amin'ny fitaovana I/O virtoaly, izay miantoka ny fifanarahana amin'ny fitaovana VirtIO isan-karazany. Ny fanohanana ho an'ny Linux frontend, toolkit (libxl/xl), dom0less mode ary backends mandeha amin'ny habaka mpampiasa dia efa nampiharina (virtio-disk, virtio-net, i2c ary gpio backends dia nosedraina).
- Fanohanana nohatsaraina ho an'ny fomba dom0less, izay ahafahanao misoroka ny fametrahana tontolo iainana dom0 amin'ny fanombohana milina virtoaly Amin'ny dingana voalohany amin'ny fanombohana ny mpizara. Azo ampiasaina ankehitriny ny fahafahana mamaritra ny dobo CPU (CPUPOOL) amin'ny fanombohana (amin'ny alàlan'ny hazo fitaovana), izay ahafahana mampiasa dobo amin'ny fikirakirana tsy misy dom0, ohatra, mba hampifandraisana karazana core CPU samihafa amin'ny rafitra ARM mifototra amin'ny maritrano big.LITTLE, izay mampifangaro cores mahery vaika nefa mandany herinaratra miaraka amin'ny cores tsy dia mahery vaika nefa mitsitsy angovo kokoa ao anaty puce tokana. Ankoatra izany, ny dom0less dia manome ny fahafahana mampitohy ny frontend/backend paravirtualization amin'ny rafitra vahiny, ahafahan'ny rafitra vahiny manomboka amin'ny fitaovana paravirtualized ilaina.
- Amin'ny rafitra ARM, ny rafitra virtoaly fitadidiana (P2M, Physical to Machine) dia natokana avy amin'ny dobo fahatsiarovana noforonina rehefa noforonina ny sehatra, izay ahafahana mitokana tsara kokoa eo amin'ny vahiny rehefa misy ny tsy fahombiazan'ny fahatsiarovana.
- Ho an'ny rafitra ARM dia nampiana ny fiarovana amin'ny vulnerability Spectre-BHB amin'ny rafitra microarchitectural processeur.
- Amin'ny rafitra ARM dia azo atao ny mampandeha ny rafitra fiasan'ny Zephyr ao amin'ny tontolon'ny faka Dom0.
- Ny mety hisian'ny fivorian'ny hypervisor misaraka (tsy amin'ny hazo) dia omena.
- Amin'ny rafitra x86, pejy lehibe IOMMU (superpage) dia tohana ho an'ny karazana rafitra vahiny rehetra, izay mamela ny fitomboan'ny fidirana rehefa mandefa fitaovana PCI. Fanampiana fanampiny ho an'ny mpampiantrano manana RAM hatramin'ny 12 TB. Eo amin'ny sehatry ny boot dia efa nampiharina ny fahafahana mametraka ny cpuid parameters ho an'ny dom0. Mba hifehezana ny fepetra fiarovana ampiharina amin'ny ambaratonga hypervisor amin'ny fanafihana ny CPU amin'ny rafitra vahiny, dia atolotra ny masontsivana VIRT_SSBD sy MSR_SPEC_CTRL.
- Ny fitaterana VirtIO-Grant dia novolavolaina mitokana, tsy mitovy amin'ny VirtIO-MMIO amin'ny alàlan'ny fiarovana ambony kokoa sy ny fahafahana mitantana ireo mpitatitra amin'ny sehatra mitokana ho an'ny mpamily. VirtIO-Grant, fa tsy sarintany fitadidiana mivantana, dia mampiasa ny fandikana ny adiresy ara-batana an'ny rafitra vahiny ho rohy fanomezana, izay mamela ny fampiasana faritra efa nifanarahana mialoha ho an'ny fifanakalozam-baovao eo amin'ny rafitra vahiny sy ny backend VirtIO, tsy misy fanomezana. ny zon'ny backend hanao sarintany fahatsiarovana. Ny fanohanan'ny VirtIO-Grant dia efa ampiharina ao amin'ny kernel Linux, saingy mbola tsy tafiditra ao amin'ny backends QEMU, ao amin'ny virtio-vhost ary ao amin'ny fitaovana (libxl/xl).
- Mitohy mivoatra hatrany ny hetsika Hyperlaunch, izay mikendry ny hanome fitaovana azo ovaina ho an'ny fandrindrana ny fandefasana milina virtoaly mandritra ny fanombohana ny rafitra. Vonona izao ny andiany voalohany amin'ny patch, izay ahafahana mamantatra ny sehatra PV sy mamindra ny sarin'izy ireo any amin'ny hypervisor mandritra ny fanombohana. Efa nampiharina ihany koa izay rehetra ilaina amin'ny fandefasana rafitra paravirtualized toy izany. доменов, anisan'izany ny singa Xenstore ho an'ny mpamily PV. Rehefa ankatoavina ny patch, dia hanomboka ny asa amin'ny fampandehanana ny fanohanana ny fitaovana PVH sy HVM, ary koa ny fametrahana domB (sehatra mpamorona) misaraka mety amin'ny boot refesina, izay manamarina ny maha-ara-dalàna ny singa rehetra voapetraka.
- Mitohy ny asa amin'ny famoronana seranan-tsambo Xen ho an'ny maritrano RISC-V.
Source: opennet.ru
