CVE-2020-29487

Severity Score

7.5

*CVSS v3.1

Exploit Likelihood

*EPSS

Affected Versions

*CPE

Public Exploits

*Multiple Sources

Exploited in Wild

*KEV

Decision

*SSVC

Descriptions

An issue was discovered in Xen XAPI before 2020-12-15. Certain xenstore keys provide feedback from the guest, and are therefore watched by toolstack. Specifically, keys are watched by xenopsd, and data are forwarded via RPC through message-switch to xapi. The watching logic in xenopsd sends one RPC update containing all data, any time any single xenstore key is updated, and therefore has O(N^2) time complexity. Furthermore, message-switch retains recent (currently 128) RPC messages for diagnostic purposes, yielding O(M*N) space complexity. The quantity of memory a single guest can monopolise is bounded by xenstored quota, but the quota is fairly large. It is believed to be in excess of 1G per malicious guest. In practice, this manifests as a host denial of service, either through message-switch thrashing against swap, or OOMing entirely, depending on dom0's configuration. (There are no quotas in xenopsd to limit the quantity of keys that result in RPC traffic.) A buggy or malicious guest can cause unreasonable memory usage in dom0, resulting in a host denial of service. All versions of XAPI are vulnerable. Systems that are not using the XAPI toolstack are not vulnerable.

Se detectó un problema en Xen XAPI antes del 15/12/2020. Determinadas claves de xenstore proporcionan comentarios del invitado y, por lo tanto, son supervisadas por toolstack. Específicamente, las claves son supervisadas por xenopsd y los datos son reenviados por medio de RPC mediante message-switch hacia xapi. La lógica de observación en xenopsd envía una actualización RPC que contiene todos los datos, cada vez que una sola clave de xenstore es actualizada y, por lo tanto, presenta una complejidad de tiempo O(N^2). Además, message-switch conserva los mensajes RPC recientes (actualmente 128) con propósitos de diagnóstico, lo que genera una complejidad de espacio O(M*N). La cantidad de memoria que un solo invitado puede monopolizar está limitada por la cuota almacenada en xen, pero la cuota es bastante grande. Se cree que supera 1G por invitado malicioso. En la práctica, esto se manifiesta como una denegación de servicio del host, ya sea a través de message-switch contra el intercambio, o mediante OOM por completo, dependiendo de la configuración de dom0. (No existen cuotas en xenopsd para limitar la cantidad de claves que resultan en tráfico RPC.) Un invitado con errores o malicioso puede causar un uso de memoria irrazonable en dom0, resultando en una denegación de servicio del host. Todas las versiones de XAPI son vulnerables. Los sistemas que no están usando la toolstack de XAPI no son vulnerables

*Credits: N/A

Attack Vector

Network

Attack Complexity

Low

Privileges Required

None

User Interaction

None

Scope

Unchanged

Confidentiality

None

Integrity

None

Availability

High

Attack Vector

Network

Attack Complexity

Low

Authentication

None

Confidentiality

None

Integrity

None

Availability

Complete

* Common Vulnerability Scoring System

SSVC

Decision:-

Exploitation

Automatable

Tech. Impact

* Organization's Worst-case Scenario

Timeline

2020-12-03 CVE Reserved
2020-12-15 CVE Published
2023-08-31 EPSS Updated
2024-08-04 CVE Updated
---------- Exploited in Wild
---------- KEV Due Date
---------- First Exploit

CWE

CWE-770: Allocation of Resources Without Limits or Throttling

CAPEC

References (2)

URL	Tag	Source

URL	Date	SRC

URL	Date	SRC
https://xenbits.xenproject.org/xsa/advisory-354.html	2021-12-10

URL	Date	SRC
https://security.gentoo.org/glsa/202107-30	2021-12-10

Affected Vendors, Products, and Versions

Vendor		Product				Version		Other		Status
Vendor	Product	Version	Other	Status	<-- -->	Vendor	Product	Version	Other	Status
Xen Search vendor "Xen"		Xapi Search vendor "Xen" for product "Xapi"				< 2020-12-15 Search vendor "Xen" for product "Xapi" and version " < 2020-12-15"		-		Affected