Säkerhetsinformation / 2012 / Säkerhetsinformation -- DSA-2501-1 xen

Säkerhetsbulletin från Debian

DSA-2501-1 xen -- flera sårbarheter

Rapporterat den:

2012-06-24

Berörda paket:

xen

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2012-0217, CVE-2012-0218, CVE-2012-2934.

Ytterligare information:

Flera sårbarheter har upptäckts i Xen, en hypervisor.

• CVE-2012-0217

  Xen hanterar inte icke-vedertagna returadresser på Intel amd64 CPUer, vilket tillåter amd64 PV-gäster att utöka sina rättigheter till hypervisor-rättigheter. AMD-processorer, HVM och i386-gäster påverkas inte.

• CVE-2012-0218

  Xen hanterar inte SYSCALL och SYSENTER-instruktioner ordentligt i PV-gäster, och tillåter icke-prviligierade användare i ett gästsystem att krascha gästsystemet.

• CVE-2012-2934

  Xen detekterar inte gamla AMD CPUer som påverkas av AMD Erratum #121.

För CVE-2012-2934, vägrar Xen att starta domUs på påverkade system om inte allow_unsafe-alternativet är skickas med.

För den stabila utgåvan (Squeeze) har dessa problem rättats i version 4.0.1-5.2.

För uttestningsutgåvan (Wheezy) och den instabila utgåvan (Sid) har dessa problem rättats i version 4.1.3~rc1+hg-20120614.a9c0a89c08f2-1.

Vi rekommenderar att ni uppgraderar era xen-paket.