Bulletin d'alerte Debian

DLA-614-1 xen -- Mise à jour de sécurité pour LTS

Date du rapport :
9 septembre 2016
Paquets concernés :
xen
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2016-7092, CVE-2016-7094.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans l'hyperviseur Xen. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2016-7092 (XSA-185)

    Jérémie Boutoille de Quarkslab et Shangcong Luan de Alibaba ont découvert un défaut dans le traitement des entrées de table des pages L3 permettant à un administrateur de client PV 32 bits malveillant d'augmenter ses droits à ceux de l'hôte.

  • CVE-2016-7094 (XSA-187)

    Des clients HVM x86 s'exécutant avec une pagination «⋅shadow⋅» utilisent un sous-ensemble de l'émulateur x86 pour gérer le client écrivant ses propres tables des pages. Andrew Cooper de Citrix a découvert qu'il y a des situations, qu'un client peut provoquer, qui peuvent avoir pour conséquence le dépassement de l'espace alloué pour un état interne. Un administrateur malveillant de client HVM peut provoquer l'échec d'une vérification de bogue par Xen, causant un déni de service à l'hôte.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 4.1.6.lts1-2. Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 4.4.1-9+deb8u7.

Nous vous recommandons de mettre à jour vos paquets xen.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.