Debians sikkerhedsbulletin

DSA-3633-1 xen -- sikkerhedsopdatering

Rapporteret den:
27. jul 2016
Berørte pakker:
xen
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2015-8338, CVE-2016-4480, CVE-2016-4962, CVE-2016-5242, CVE-2016-6258.
Yderligere oplysninger:

Adskillige sårbarheder er opdaget i hypervisoren Xen. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

  • CVE-2015-8338

    Julien Grall opdagede at Xen på ARM var sårbar over for lammelsesangreb (denial of service) gennem længekørende hukommelseshandlinger.

  • CVE-2016-4480

    Jan Beulich opdagede at ukorrekt pagetable-håndtering, kunne medføre rettighedsforøgelse inde i en Xen-gæsteinstans.

  • CVE-2016-4962

    Wei Liu opdagede adskillige tilfælde af manglende fornuftighedskontrol af inddata i libxl, hvilke kunne medføre lammelsesangreb.

  • CVE-2016-5242

    Aaron Cornelius opdagede at ukorrekt ressourcehåndtering på ARM-systemer, kunne medføre lammelsesangreb.

  • CVE-2016-6258

    Jeremie Boutoille opdagede at ukorrekt pagetable-håndtering i PV-instanser, kunne medføre i gæst til vært-rettighedsforøgelse.

I den stabile distribution (jessie), er disse problemer rettet i version 4.4.1-9+deb8u6.

I den ustabile distribution (sid), vil disse problemer snart blive rettet.

Vi anbefaler at du opgraderer dine xen-pakker.