Das Xen-Projekt möchte, dass künftig nur noch für schwerwiegende Sicherheitsprobleme Security-Advisories verfasst werden.
Das Xen-Projekt will den Organisationsaufwand für Security-Advisories reduzieren und entsprechende Mitteilungen künftig auf schwerwiegende Probleme beschränken. Jedes Advisory verursache viel Aufwand beim Xen-Projekt, bei Benutzern und Anwendern, schreibt George Dunlap im Xen-Blog . Darin zählt er er verschiedene Bug-Typen auf, die künftig als schwerwiegende Sicherheitslücke betrachtet werden sollen.
Insbesondere soll nicht jedes Information Leak aus dem Hostsystem (Dom0) zu einem Gast als Sicherheitslücke gelten, außer es handelt sich um sensible Daten. Auch soll es nur dann ein Security Advisory geben, wenn die Möglichkeit für einen Exploit gibt.
Über die Meinung zu der geplanten Strategie wird bis zum 28. Februar die Community befragt. Die Diskussion findet auf der Xen-Devel-Mailingliste unter dem Topic "RFC v2: Scope of Vulnerabilities for which XSAs are issued" statt.
Ein Update auf Version 1.3.2 schließt eine Sicherheitslücke im Container-Virtualisierungsframework Docker.