Bulletin d'alerte Debian
DSA-2501-1 xen -- Plusieurs vulnérabilités
- Date du rapport :
- 24 juin 2012
- Paquets concernés :
- xen
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2012-0217, CVE-2012-0218, CVE-2012-2934.
- Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans Xen, un hyperviseur.
- CVE-2012-0217
Xen ne traite pas correctement les adresses de retour non canoniques sur les processeurs Intel amd64, permettant aux clients PV amd64 d'augmenter leurs droits au niveau de l'hyperviseur. Les processeurs AMD, et les clients HVM et i386 ne sont pas concernés.
- CVE-2012-0218
Xen ne traite pas correctement les instructions SYSCALL et SYSENTER dans les clients PV, permettant aux utilisateurs sans droits dans un système client de planter le système client.
- CVE-2012-2934
Xen ne détecte pas les anciens processeurs AMD concernés par l'Erratum AMD nº 121.
Pour CVE-2012-2934, Xen refuse de démarrer les domUs sur les systèmes concernés sauf si l'option
allow_unsafe
est donnée.Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 4.0.1-5.2.
Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4.1.3~rc1+hg-20120614.a9c0a89c08f2-1.
Nous vous recommandons de mettre à jour vos paquets xen.
- CVE-2012-0217