Bulletin d'alerte Debian

DSA-3181-1 xen -- Mise à jour de sécurité

Date du rapport :
10 mars 2015
Paquets concernés :
xen
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-2044, CVE-2015-2045, CVE-2015-2151.
Plus de précisions :

Plusieurs problèmes de sécurité ont été découverts dans la solution de virtualisation Xen :

  • CVE-2015-2044

    Fuite d'information à cause de l'émulation de périphérique système x86.

  • CVE-2015-2045

    Fuite d'information dans l'appel hyperviseur HYPERVISOR_xen_version().

  • CVE-2015-2151

    Une absence de vérification des entrées dans l'émulateur x86 pourrait résulter en la divulgation d'informations, un déni de service ou éventuellement une augmentation de droits.

De plus, les développeurs Xen ont signalé une limitation non corrigeable dans le traitement de périphériques PCI non standards. Veuillez consulter http://xenbits.xen.org/xsa/advisory-124.html pour de plus amples informations.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 4.1.4-3+deb7u5.

Pour la distribution unstable (Sid), ces problèmes seront corrigés prochainement.

Nous vous recommandons de mettre à jour vos paquets xen.