Bulletin d'alerte Debian

DSA-3633-1 xen -- Mise à jour de sécurité

Date du rapport :
27 juillet 2016
Paquets concernés :
xen
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-8338, CVE-2016-4480, CVE-2016-4962, CVE-2016-5242, CVE-2016-6258.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans l'hyperviseur Xen. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2015-8338

    Julien Grall a découvert que Xen sur ARM était vulnérable à un déni de service grâce à des opérations durant longtemps en mémoire.

  • CVE-2016-4480

    Jan Beulich a découvert qu'un traitement incorrect de table de page pourrait avoir pour conséquence une augmentation de droits dans une instance de client Xen.

  • CVE-2016-4962

    Wei Liu a découvert de multiples cas d'absence de vérification des entrées dans libxl qui pourraient avoir pour conséquence un déni de service.

  • CVE-2016-5242

    Aaron Cornelius a découvert qu'un traitement incorrect de ressource sur les systèmes ARM pourrait avoir pour conséquence un déni de service.

  • CVE-2016-6258

    Jeremie Boutoille a découvert qu'un traitement incorrect de table de page dans des instances paravirtuelles (PV) pourrait avoir pour conséquence une augmentation de droits du client vers l'hôte.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 4.4.1-9+deb8u6.

Pour la distribution unstable (Sid), ces problèmes seront corrigés prochainement.

Nous vous recommandons de mettre à jour vos paquets xen.