Säkerhetsbulletin från Debian

DSA-2662-1 xen -- flera sårbarheter

Rapporterat den:
2013-04-18
Berörda paket:
xen
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2013-1917, CVE-2013-1919.
Ytterligare information:

Flera sårbarheter har upptäckts i Xen hypervisor. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2013-1917

    Instruktionen SYSENTER kan används av PV-gäster för att accelerera behandling av systemanrop. Dock så lämnar denna instruktion EFLAGS-registret omodifierat. Detta kan användas av ett illasinnat eller buggigt användarområde för att orsaka att värden kraschar.

  • CVE-2013-1919

    Olika IRQ-relaterade operationer för åtkomstkontroll kanske inte har önskad effekt, och tillåter potentiellt en stub-domän att ge dess klient-domäner åtkomst till en IRQ som den inte har åtkomst till själv. Detta kan användas av illasinnade eller buggiga kärnor till stub-domäner för att montera en överbelastningsattack vilket kan påverka hela systemet.

För den stabila utgåvan (Squeeze) har dessa problem rättats i version 4.0.1-5.9.

För uttestningsutgåvan (Wheezy) och den instabila utgåvan (Sid) kommer dessa problem att rättas inom kort.

Vi rekommenderar att ni uppgraderar era xen-paket.