Bulletin d'alerte Debian

DSA-2531-1 xen -- Déni de service

Date du rapport :
18 août 2012
Paquets concernés :
xen
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 683279.
Dans le dictionnaire CVE du Mitre : CVE-2012-3432, CVE-2012-3433.
Plus de précisions :

Plusieurs vulnérabilités de déni de service ont été découvertes dans Xen, le programme populaire de virtualisation. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2012-3432

    Le code du mode de client sans droit, auquel a été donné le droit d'accès aux zones d'entrée et sortie de projection en mémoire (MMIO), pourrait utiliser cet accès pour planter tout le client. Puisque cela peut être utilisé pour planter un client de l'intérieur, cette vulnérabilité est considérée d'impact faible.

  • CVE-2012-3433

    Un noyau de client peut forcer l'hôte à ne plus réagir pendant un certain temps, avec pour conséquence éventuelle un déni de service. Puisqu'un attaquant avec contrôle complet dans le client peut avoir un impact sur l'hôte, cette vulnérabilité est considérée d'impact important.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 4.0.1-5.3.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 4.1.3-1.

Nous vous recommandons de mettre à jour vos paquets xen.