Bulletin d'alerte Debian

DSA-2501-1 xen -- Plusieurs vulnérabilités

Date du rapport :
24 juin 2012
Paquets concernés :
xen
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2012-0217, CVE-2012-0218, CVE-2012-2934.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Xen, un hyperviseur.

  • CVE-2012-0217

    Xen ne traite pas correctement les adresses de retour non canoniques sur les processeurs Intel amd64, permettant aux clients PV amd64 d'augmenter leurs droits au niveau de l'hyperviseur. Les processeurs AMD, et les clients HVM et i386 ne sont pas concernés.

  • CVE-2012-0218

    Xen ne traite pas correctement les instructions SYSCALL et SYSENTER dans les clients PV, permettant aux utilisateurs sans droits dans un système client de planter le système client.

  • CVE-2012-2934

    Xen ne détecte pas les anciens processeurs AMD concernés par l'Erratum AMD nº 121.

Pour CVE-2012-2934, Xen refuse de démarrer les domUs sur les systèmes concernés sauf si l'option allow_unsafe est donnée.

Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 4.0.1-5.2.

Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4.1.3~rc1+hg-20120614.a9c0a89c08f2-1.

Nous vous recommandons de mettre à jour vos paquets xen.