Debians sikkerhedsbulletin

DSA-3181-1 xen -- sikkerhedsopdatering

Rapporteret den:
10. mar 2015
Berørte pakker:
xen
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2015-2044, CVE-2015-2045, CVE-2015-2151.
Yderligere oplysninger:

Adskillige sikkerhedsproblemer blev fundet i virtualiseringsløsningen Xen:

  • CVE-2015-2044

    Informationslækage via x86-systemenhedsemuleringen.

  • CVE-2015-2045

    Informationslækage i hypercall'et HYPERVISOR_xen_version().

  • CVE-2015-2151

    Manglende fornuftighedskontrol af inddata i x86-emulatoren, kunne medføre informationsafsløring, lammelsesangreb (denial of service) eller potentielt rettighedsforøgelse.

Desuden rapporterede Xen-udviklerne om en begrænsning i håndteringen af ikke-standard-PCI-enheder, som ikke kan løses. Se http://xenbits.xen.org/xsa/advisory-124.html for flere oplysninger.

I den stabile distribution (wheezy), er disse problemer rettet i version 4.1.4-3+deb7u5.

I den ustabile distribution (sid), vil disse problemer snart blive rettet.

Vi anbefaler at du opgraderer dine xen-pakker.