セキュリティ情報 / 2013 / セキュリティ情報 -- DSA-2636-2 xen

Debian セキュリティ勧告

DSA-2636-2 xen -- 複数の脆弱性

報告日時:

2013-03-03

影響を受けるパッケージ:

xen

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2012-4544, CVE-2012-5511, CVE-2012-5634, CVE-2013-0153.

詳細:

複数の脆弱性が Xen ハイパーバイザに発見されました。The Common Vulnerabilities and Exposures project は以下の問題を認識しています:

• CVE-2012-4544

  Xen PV ドメインビルダーがカーネルや RAM ディスクのサイズの検証を十分に行っておらず、 サービス拒否につながる可能性があります。

• CVE-2012-5511

  複数の HVM 制御操作で入力の検証を十分に行っておらず、 リソースを使い果たすことによりサービス拒否の可能性があります。

• CVE-2012-5634

  VT-d ハードウェアの使用時に誤った中断処理があり、 サービス拒否の可能性があります。

• CVE-2013-0153

  中断操作へのアクセスを十分に制限していないため、 サービス拒否の可能性があります。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバージョン 4.0.1-5.8 で修正されています。

テスト版 (testing) ディストリビューション (wheezy) では、この問題はバージョン 4.1.4-2 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 4.1.4-2 で修正されています。

直ちに xen パッケージをアップグレードすることを勧めます。