Bulletin d'alerte Debian

DSA-2636-2 xen -- Plusieurs vulnérabilités

Date du rapport :
3 mars 2013
Paquets concernés :
xen
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2012-4544, CVE-2012-5511, CVE-2012-5634, CVE-2013-0153.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans l'hyperviseur Xen. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2012-4544

    Une validation insuffisante des tailles du noyau ou du disque en mémoire dans le constructeur de domaine de paravirtualisation (PV) Xen pourrait avoir pour conséquence un déni de service.

  • CVE-2012-5511

    Plusieurs opérations de contrôle de virtualisation assistée par le matériel (HVM) ne réalisaient pas suffisamment de validations d'entrée, ce qui pourrait avoir pour conséquence un déni de service à l'aide d'épuisement des ressources.

  • CVE-2012-5634

    Un traitement d'interruption incorrect lors de l'utilisation de matériel VT-d pourrait avoir pour conséquence un déni de service.

  • CVE-2013-0153

    Une restriction insuffisante d'accès aux interruptions pourrait avoir pour conséquence un déni de service.

Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 4.0.1-5.8.

Pour la distribution testing (Wheezy), ces problèmes ont été corrigés dans la version 4.1.4-2.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4.1.4-2.

Nous vous recommandons de mettre à jour vos paquets xen.