Sikkerhedsoplysninger / 2013 / Sikkerhedsoplysninger -- DSA-2662-1 xen

Debians sikkerhedsbulletin

DSA-2662-1 xen -- flere sårbarheder

Rapporteret den:

18. apr 2013

Berørte pakker:

xen

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2013-1917, CVE-2013-1919.

Yderligere oplysninger:

Flere sårbarheder blev opdaget i Xen-hypervisoren. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

• CVE-2013-1917

  SYSENTER-instruktionen kunne anvendes af PV-gæster til at accelerere systemkaldbehandlingen. Instruktionen efterlader dog mestendels EFLAGS-registeret uæandret. Det kunne udnyttes fra et ondsindet eller fejlbehæftet brugerrum til at få hele værten til at gå ned.

• CVE-2013-1919

  Forskellige IRC-relaterede adgangskontrolhandlinger havde måske ikke den tilsigtede virkning, potentielt gørende det muligt for at stubdomæne at give dets klienter domæneadgang til en IRC, som det ikke selv har adgang til. Det kunne udnyttes af ondsindede eller fejlbehæftede stubdomænekerner til at iværksætte et lammelsesangreb (denial of service), som muligvis påvirkede hele systemet.

I den stabile distribution (squeeze), er disse problemer rettet i version 4.0.1-5.9.

I distributionen testing (wheezy) og i den ustabile distribution (sid), vil disse problemer snart blive rettet.

Vi anbefaler at du opgraderer dine xen-pakker.