Debian-Sicherheitsankündigung
DSA-1384-1 xen-utils -- Mehrere Verwundbarkeiten
- Datum des Berichts:
- 05. Okt 2007
- Betroffene Pakete:
- xen-utils
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In der Debian-Fehlerdatenbank: Fehler 444430, Fehler 444007.
In Mitres CVE-Verzeichnis: CVE-2007-4993, CVE-2007-1320. - Weitere Informationen:
-
Mehrere lokale Verwundbarkeiten wurden in den Xen-Hypervisor-Paketen entdeckt, die zur Ausführung beliebigen Codes führen können. Das
Common Vulnerabilities and Exposures
-Projekt identifiziert die folgenden Probleme:- CVE-2007-4993
Durch Verwendung einer speziell erzeugten Grub-Konfigurationsdatei kann ein domU-Benutzer beliebigen Code im dom0 ausführen, falls pygrub benutzt wird.
- CVE-2007-1320
Mehrere Heap-basierte Pufferüberläufe in der von QEMU bereitgestellten Cirrus-VGA-Erweiterung, könnten es lokalen Benutzern ermöglichen, beliebigen Code mittels
bitblt
-Heap-Überlauf auszuführen.
Für die Stable-Distribution (Etch) wurden diese Probleme in Version 3.0.3-0-3 behoben.
Für die Unstable-Distribution (Sid) werden diese Probleme bald behoben sein.
Wir empfehlen Ihnen, Ihr xen-utils-Paket zu aktualisieren.
- CVE-2007-4993
- Behoben in:
-
Debian GNU/Linux 4.0 (etch)
- Quellcode:
- http://security.debian.org/pool/updates/main/x/xen-3.0/xen-3.0_3.0.3-0.orig.tar.gz
- http://security.debian.org/pool/updates/main/x/xen-3.0/xen-3.0_3.0.3-0-3.diff.gz
- http://security.debian.org/pool/updates/main/x/xen-3.0/xen-3.0_3.0.3-0-3.dsc
- http://security.debian.org/pool/updates/main/x/xen-3.0/xen-3.0_3.0.3-0-3.diff.gz
- Architektur-unabhängige Dateien:
- http://security.debian.org/pool/updates/main/x/xen-3.0/xen-docs-3.0_3.0.3-0-3_all.deb
- AMD64:
- http://security.debian.org/pool/updates/main/x/xen-3.0/xen-utils-3.0.3-1_3.0.3-0-3_amd64.deb
- http://security.debian.org/pool/updates/main/x/xen-3.0/xen-ioemu-3.0.3-1_3.0.3-0-3_amd64.deb
- http://security.debian.org/pool/updates/main/x/xen-3.0/xen-hypervisor-3.0.3-1-amd64_3.0.3-0-3_amd64.deb
- http://security.debian.org/pool/updates/main/x/xen-3.0/xen-ioemu-3.0.3-1_3.0.3-0-3_amd64.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/x/xen-3.0/xen-hypervisor-3.0.3-1-i386-pae_3.0.3-0-3_i386.deb
- http://security.debian.org/pool/updates/main/x/xen-3.0/xen-ioemu-3.0.3-1_3.0.3-0-3_i386.deb
- http://security.debian.org/pool/updates/main/x/xen-3.0/xen-utils-3.0.3-1_3.0.3-0-3_i386.deb
- http://security.debian.org/pool/updates/main/x/xen-3.0/xen-hypervisor-3.0.3-1-i386_3.0.3-0-3_i386.deb
- http://security.debian.org/pool/updates/main/x/xen-3.0/xen-ioemu-3.0.3-1_3.0.3-0-3_i386.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.