Informations de sécurité / 2013 / Informations sur la sécurité -- DSA-2662-1 xen

Bulletin d'alerte Debian

DSA-2662-1 xen -- Plusieurs vulnérabilités

Date du rapport :

18 avril 2013

Paquets concernés :

xen

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2013-1917, CVE-2013-1919.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans l'hyperviseur Xen. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

• CVE-2013-1917

  L'instruction SYSENTER peut être utilisée par des invités paravirtualisés pour accélérer le traitement des appels système. Néanmoins, cette instruction ne modifie que très peu les registres EFLAGS. Un espace utilisateur malveillant ou bogué pourrait s'en servir pour faire planter l'hôte entier.

• CVE-2013-1919

  Diverses opérations de contrôle d'accès liées aux IRQ pourraient ne pas avoir l'effet prévu en permettant éventuellement à un domaine restreint (stub) d'accorder à son domaine client l'accès à une IRQ à laquelle il n'a lui-même pas accès. Des noyaux malveillants ou bogués pourraient s'en servir pour monter une attaque par déni de service pouvant affecter le système entier.

Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 4.0.1-5.9.

Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ces problèmes seront corrigés prochainement.

Nous vous recommandons de mettre à jour vos paquets xen.