Рекомендация Debian по безопасности

DSA-2666-1 xen -- несколько уязвимостей

Дата сообщения:
12.05.2013
Затронутые пакеты:
xen
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2013-1918, CVE-2013-1952, CVE-2013-1964.
Более подробная информация:

В гипервизоре Xen были обнаружены несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

  • CVE-2013-1918

    (XSA 45) предварительно не очищаются некоторые операции с длительной задержкой.

    Оперции манипулирования некоторыми таблицами для гостей PV предварительно не очищаются, что позволяет вредоносному или проблемному ядру PV производить атаку по принципу отказа в обслуживании, затрагивающей всю систему.

  • CVE-2013-1952

    (XSA 49) утечка источника переотображения прерывания VT-d для мостов.

    Из-за отсутствия проверки источника записей в таблице переотображения прерываний для прерываний MSI, устанавливаемых мостами, домен, имеющий доступ к такому устройству, может производить атаку по принципу отказа в обслуживании, затрагивающую всю систему.

  • CVE-2013-1964

    (XSA 50) дисбаланс таблицы грантов гипервызовов получить/отпустить.

    При отпускании определённого, нетранзитивного гранта во время операции копирования гранта Xen некорректно отпускает несвязанное указание гранта, что ведёт к возможному аварийному завершению основной систему. Кроме того, нельзя избежать и утечки информации или повышения привилегий.

В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены в версии 4.0.1-5.11.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 4.1.4-3+deb7u1.

В тестируемом выпуске (jessie) эти проблемы были исправлены в версии 4.1.4-4.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 4.1.4-4.

Заметьте, что в стабильном (wheezy), тестируемом и нестабильном выпусках CVE-2013-1964 (XSA 50) уже была исправлена в версии 4.1.4-3.

Рекомендуется обновить пакеты xen.