Debian セキュリティ勧告

DSA-2662-1 xen -- 複数の脆弱性

報告日時:
2013-04-18
影響を受けるパッケージ:
xen
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2013-1917, CVE-2013-1919.
詳細:

複数の脆弱性が Xen ハイパーバイザに発見されました。The Common Vulnerabilities and Exposures project は以下の問題を認識しています:

  • CVE-2013-1917

    PV ゲストが SYSENTER 命令を利用してシステムコールの処理を高速化することが可能です。 しかし、この命令は EFLAGS レジスタをほとんど変更しません。 これを悪意のある、あるいはおかしなユーザ空間で利用することにより、 ホスト全体のクラッシュを引き起こすことが可能です。

  • CVE-2013-1919

    様々な IRQ 関連のアクセス制御操作が意図した効力を発揮しないことがあり、 スタブドメインがそのクライアントのドメインに対して、自身はアクセス権限を持たない IRQ へのアクセスを承認することを潜在的に許可します。 これを悪意のある、あるいはおかしなスタブドメインのカーネルが利用して サービス拒否攻撃を仕掛けることが可能で、 システム全体に影響を与える可能性があります。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバージョン 4.0.1-5.9 で修正されています。

テスト版 (testing) ディストリビューション (wheezy) および不安定版 (unstable) ディストリビューション (sid) では、この問題は近く修正予定です。

直ちに xen パッケージをアップグレードすることを勧めます。