Debian セキュリティ勧告

DSA-2531-1 xen -- サービス拒否攻撃

報告日時:
2012-08-18
影響を受けるパッケージ:
xen
危険性:
あり
参考セキュリティデータベース:
Debian バグ追跡システム: バグ 683279.
Mitre の CVE 辞書: CVE-2012-3432, CVE-2012-3433.
詳細:

人気のある仮想化ソフトウェアの Xen に複数のサービス拒否攻撃の脆弱性が見つかりました。The Common Vulnerabilities and Exposures project は以下の問題を認識しています。

  • CVE-2012-3432

    MMIO 領域にアクセスする権限を許された、ゲストモードの非特権コードは、 そのアクセスを昇格させてゲスト全体を異常終了させられます。 このことはそのクライアントを内部から異常終了させるために使えるだけなので、 この脆弱性は低い影響力しかないとみなされています。

  • CVE-2012-3433

    ゲストカーネルは、ある期間ホストを無反応な状態に陥らせることができ、潜在的に DoS に繋がります。ゲストを完全に制御できる攻撃者ならホストに大きな影響を与えられるため、 この脆弱性は高い影響力をもつとみなされています。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバージョン 4.0.1-5.3 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 4.1.3-1 で修正されています。

直ぐに xen パッケージをアップグレードすることを勧めます。