セキュリティ情報 / 2012 / セキュリティ情報 -- DSA-2501-1 xen

Debian セキュリティ勧告

DSA-2501-1 xen -- 複数の脆弱性

報告日時:

2012-06-24

影響を受けるパッケージ:

xen

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2012-0217, CVE-2012-0218, CVE-2012-2934.

詳細:

複数の欠陥が、Xen ハイパーバイザに発見されました。

• CVE-2012-0217

  Xen は Intel の amd64 アーキテクチャの CPU で、正規化されていない 戻りアドレスを正しく処理できず、amd64 PV ゲストからのハイパーバイ ザ権限のダッシュが可能です。この問題は AMD プロセッサ、HVM、i386 アーキテクチャには影響しません。

• CVE-2012-0218

  CVE-2012-0218 Xen は PV ゲストの SYSCALL と SYSENTER 命令を正しく処理できず、ゲ スト内の非特権ユーザがゲストシステムをクラッシュ可能です。

• CVE-2012-2934

  CVE-2012-2934 Xen は AMD Erratum #121 の欠陥のある古い AMD CPU を検出していませ ん。

CVE-2012-2934 に関しては、Xen は "allow_unsafe" オプションが渡されない 限り、影響のあるシステムでの起動を拒否するようになっています。

安定版 (stable) ディストリビューション (squeeze) では、これらの問題は バージョン 4.0.1-5.2 で修正されています。

テスト版ディストリビューション (wheezy) と不安定版ディストリビューシ ョン (sid) では、これらの問題はバージョン 4.1.3~rc1+hg-20120614.a9c0a89c08f2-1 で修正されています。

直ぐに xen パッケージをアップグレードすることを勧めます。