Säkerhetsbulletin från Debian

DSA-3969-1 xen -- säkerhetsuppdatering

Rapporterat den:
2017-09-12
Berörda paket:
xen
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2017-10912, CVE-2017-10913, CVE-2017-10914, CVE-2017-10915, CVE-2017-10916, CVE-2017-10917, CVE-2017-10918, CVE-2017-10919, CVE-2017-10920, CVE-2017-10921, CVE-2017-10922, CVE-2017-12135, CVE-2017-12136, CVE-2017-12137, CVE-2017-12855.
Ytterligare information:

Flera sårbarheter har upptäckts i Xen-hypervisor:

  • CVE-2017-10912

    Jann Horn upptäckte att felaktig hantering av sidöverföringar kan resultera i utökning av privilegier.

  • CVE-2017-10913 / CVE-2017-10914

    Jann Horn upptäckte att kapplöpningseffekter i rättighetshantering kan resultera i informationsläckage eller utökning av privilegier.

  • CVE-2017-10915

    Andrew Cooper upptäckte att felaktig referensräkning med skuddsidor kan resultera i utökning av privilegier.

  • CVE-2017-10916

    Andrew Cooper upptäckts ett informationsläckage i hanteringen av CPU-funktionerna Memory Protection Extensions (MPS) och Protection Key (PKU). Detta påverkar endast Debian Stretch.

  • CVE-2017-10917

    Ankur Arora upptäckte en NULL-pekardereferens i händelsepolling, vilket resulterar i överbelastning.

  • CVE-2017-10918

    Julien Grall upptäckte att felaktig felhantering i fysisk-till-maskin-minnesmappning kan resultera i rättighetseskalering, överbelastning eller ett informationsläckage.

  • CVE-2017-10919

    Julien Grall upptäckte att felaktig hantering av virtuell interruptinjicering på ARM-system kan resultera in överbelastning.

  • CVE-2017-10920 / CVE-2017-10921 / CVE-2017-10922

    Jan Beulich upptäckte flera platser där referensräkning på rättighetstabelloperationer var felaktig, vilket resulterar i möjlig utökning av privilegier.

  • CVE-2017-12135

    Jan Beulich hittade flera problem i hanteringen av transitiva anslag som kunde resultera i överbelastning och möjligen utökning av privilegier.

  • CVE-2017-12136

    Ian Jackson upptäckte att kapplöpningseffekter i allokeraren för anslagsmappning kan resultera i överbelastning eller rättighetseskalering. Detta påverkar endast Debian Stretch.

  • CVE-2017-12137

    Andrew Cooper upptäckte att felaktig validering av anslag kan resultera i utökning av privilegier.

  • CVE-2017-12855

    Jan Beulich upptäckte att felaktig statushantering av anslag, och därmed felaktig information till gästen att anslaget inte längre används.

  • XSA-235 (no CVE yet)

    Wei Lie upptäckte att felaktig låsning av add-to-physmap-operationer på ARM kan resultera i överbelastning.

För den gamla stabila utgåvan (Jessie) har dessa problem rättats i version 4.4.1-9+deb8u10.

För den stabila utgåvan (Stretch) har dessa problem rättats i version 4.8.1-1+deb9u3.

Vi rekommenderar att ni uppgraderar era xen-paket.