Xen vergeet twee patches bij release

Incompleet uitgeven of vertragen? Xen heeft eerder met dit bijltje gehakt.

Xen heeft twee fixes uitgebracht voor zijn hypervisor-software die het vergat mee te nemen met zijn release. Het bedrijf legt uit waarom het die fixes niet alsnog kon meenemen in de geplande update.

In 2013 liep Xen ook al eens tegen een soortgelijk probleem aan met laatste release in de 4.1-serie, 4.1.6. Toen koos de softwaremaker voor deur nummer één en besloot het de software na een ontwikkelfoutje aan te passen.




Drie opties, alle drie onaantrekkelijk

In het ontwikkeltrjacet was 4.1.6 al toegewezen en dat kon niet meer worden gewijzigd, dus werd versie 4.1.6.1 uitgebracht. Het probleem was dat veel klanten toen de driepuntsversie lieten liggen. Die fout wilde Xen niet herhalen. Deur één bleef dus deze keer dicht.

Even was er volgens een blog van Xen discussie over deur nummer drie: direct overstappen op 4.6.2 met de twee aanvullende patches, maar dat zou een 'gat' opleveren in het releaseschema (van 4.6.0 naar 4.6.2) en mogelijke verwarring bij klanten.

Twee gaten gefixt

Xen besloot daarom om 4.6.1 volgens schema uit te brengen. Dus zonder patch voor de twee nieuwe kwetsbaarheden. De twee fixes zijn voor een bufferoverloopgat en een lek dat wordt veroorzaakt doordat drivers een stukje geheugen onveilig delen.