Рекомендация Debian по безопасности
DSA-1384-1 xen-utils -- несколько уязвимостей
- Дата сообщения:
- 05.10.2007
- Затронутые пакеты:
- xen-utils
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В системе отслеживания ошибок Debian: Ошибка 444430, Ошибка 444007.
В каталоге Mitre CVE: CVE-2007-4993, CVE-2007-1320. - Более подробная информация:
-
В гипервизоре Xen было обнаружено несколько локальных уязвимостей, которые могут приводить к выполнению произвольного кода. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:
- CVE-2007-4993
Использование специально сформированного файла настройки grub может позволить пользователю domU выполнить произвольный код на dom0 в том случае, если используется pygrub.
- CVE-2007-1320
В расширении Cirrus VGA, предоставляемом QEMU, были обнаружены многочисленные переполнения динамической памяти, которые могут позволить локальным пользователям выполнять произвольный код с помощью переполнения динамической памяти
bitblt
.
В стабильном выпуске (etch) эти проблемы были исправлены в версии 3.0.3-0-3.
В нестабильном выпуске (sid) эти проблемы будут исправлены позже.
Рекомендуется обновить пакет xen-utils.
- CVE-2007-4993
- Исправлено в:
-
Debian GNU/Linux 4.0 (etch)
- Исходный код:
- http://security.debian.org/pool/updates/main/x/xen-3.0/xen-3.0_3.0.3-0.orig.tar.gz
- http://security.debian.org/pool/updates/main/x/xen-3.0/xen-3.0_3.0.3-0-3.diff.gz
- http://security.debian.org/pool/updates/main/x/xen-3.0/xen-3.0_3.0.3-0-3.dsc
- http://security.debian.org/pool/updates/main/x/xen-3.0/xen-3.0_3.0.3-0-3.diff.gz
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/x/xen-3.0/xen-docs-3.0_3.0.3-0-3_all.deb
- AMD64:
- http://security.debian.org/pool/updates/main/x/xen-3.0/xen-utils-3.0.3-1_3.0.3-0-3_amd64.deb
- http://security.debian.org/pool/updates/main/x/xen-3.0/xen-ioemu-3.0.3-1_3.0.3-0-3_amd64.deb
- http://security.debian.org/pool/updates/main/x/xen-3.0/xen-hypervisor-3.0.3-1-amd64_3.0.3-0-3_amd64.deb
- http://security.debian.org/pool/updates/main/x/xen-3.0/xen-ioemu-3.0.3-1_3.0.3-0-3_amd64.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/x/xen-3.0/xen-hypervisor-3.0.3-1-i386-pae_3.0.3-0-3_i386.deb
- http://security.debian.org/pool/updates/main/x/xen-3.0/xen-ioemu-3.0.3-1_3.0.3-0-3_i386.deb
- http://security.debian.org/pool/updates/main/x/xen-3.0/xen-utils-3.0.3-1_3.0.3-0-3_i386.deb
- http://security.debian.org/pool/updates/main/x/xen-3.0/xen-hypervisor-3.0.3-1-i386_3.0.3-0-3_i386.deb
- http://security.debian.org/pool/updates/main/x/xen-3.0/xen-ioemu-3.0.3-1_3.0.3-0-3_i386.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.