Bulletin d'alerte Debian
DSA-1384-1 xen-utils -- Plusieurs vulnérabilités
- Date du rapport :
- 5 octobre 2007
- Paquets concernés :
- xen-utils
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 444430, Bogue 444007.
Dans le dictionnaire CVE du Mitre : CVE-2007-4993, CVE-2007-1320. - Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans les paquets de l'hyperviseur Xen, cela peut conduire à l'exécution de code arbitraire. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants :
- CVE-2007-4993
En utilisant une configuration du grub conçue spécialement un utilisateur domU peut être capable d'exécuter un code arbitraire sur le dom0 lorsque pygrub est en cours d'utilisation.
- CVE-2007-1320
Plusieurs débordements de mémoire tampon basée sur le tas dans l'extension Cirrus VGA fournie par QEMU peuvent permettre à des utilisateurs locaux d'exécuter un code quelconque par l'intermédiaire d'un débordement de zone de mémoire
bitblt
.
Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 3.0.3-0-3.
Pour la distribution instable (Sid), ces problèmes seront corrigés prochainement.
Nous vous recommandons de mettre à jour votre paquet xen-utils.
- CVE-2007-4993
- Corrigé dans :
-
Debian GNU/Linux 4.0 (etch)
- Source :
- http://security.debian.org/pool/updates/main/x/xen-3.0/xen-3.0_3.0.3-0.orig.tar.gz
- http://security.debian.org/pool/updates/main/x/xen-3.0/xen-3.0_3.0.3-0-3.diff.gz
- http://security.debian.org/pool/updates/main/x/xen-3.0/xen-3.0_3.0.3-0-3.dsc
- http://security.debian.org/pool/updates/main/x/xen-3.0/xen-3.0_3.0.3-0-3.diff.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/x/xen-3.0/xen-docs-3.0_3.0.3-0-3_all.deb
- AMD64:
- http://security.debian.org/pool/updates/main/x/xen-3.0/xen-utils-3.0.3-1_3.0.3-0-3_amd64.deb
- http://security.debian.org/pool/updates/main/x/xen-3.0/xen-ioemu-3.0.3-1_3.0.3-0-3_amd64.deb
- http://security.debian.org/pool/updates/main/x/xen-3.0/xen-hypervisor-3.0.3-1-amd64_3.0.3-0-3_amd64.deb
- http://security.debian.org/pool/updates/main/x/xen-3.0/xen-ioemu-3.0.3-1_3.0.3-0-3_amd64.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/x/xen-3.0/xen-hypervisor-3.0.3-1-i386-pae_3.0.3-0-3_i386.deb
- http://security.debian.org/pool/updates/main/x/xen-3.0/xen-ioemu-3.0.3-1_3.0.3-0-3_i386.deb
- http://security.debian.org/pool/updates/main/x/xen-3.0/xen-utils-3.0.3-1_3.0.3-0-3_i386.deb
- http://security.debian.org/pool/updates/main/x/xen-3.0/xen-hypervisor-3.0.3-1-i386_3.0.3-0-3_i386.deb
- http://security.debian.org/pool/updates/main/x/xen-3.0/xen-ioemu-3.0.3-1_3.0.3-0-3_i386.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.