FreeBSD：xen-tools -- HVM qemu 無預警啟用模擬的 VGA 圖形後端 (0d732fd1-27e0-11e5-a4a5-002590263bf5)

low Nessus Plugin ID 84693

語系：

概要

遠端 FreeBSD 主機缺少安全性相關更新。

說明

Xen 專案報告：

當具現化 x86 HVM 來賓的模擬 VGA 裝置時，qemu 會讓後端預設公開該裝置、依賴 qemu 版本的 SDL 或 VNC，以及構建時間組態。

libxl toolstack 程式庫在這些預設後端未啟用時並未加以明確停用，進而導致未預期的後端執行。

如果 SDL 或 VNC 在來賓組態中明確啟用，則只會啟用預期中的後端。

此會以不同方式影響 qemu-xen 和 qemu-xen-traditional。

若 qemu-xen 編譯時具有 SDL 支援，則會在 $DISPLAY 有效時導致 SDL 視窗開啟，或 $DISPLAY 無效時無法啟動來賓。

若 qemu-xen 編譯時沒有 SDL 支援，則 qemu 反而會在 :1 (IPv6 localhost) 或 IPv6 設為偏好設定的 127.0.0.1 (IPv4 localhost) (如果有) 上啟動 VNC 伺服器接聽。即使來賓組態中有 VNC 密碼，亦不會設定該密碼。

除非有明確的設定，否則 qemu-xen-traditional 一律不啟動 vnc 後端。但是，如果 SDL 後端是以 SDL 支援構建且 $DISPLAY 有效，其便預設會啟動 SDL 後端。