Debian セキュリティ勧告
DSA-2662-1 xen -- 複数の脆弱性
- 報告日時:
- 2013-04-18
- 影響を受けるパッケージ:
- xen
- 危険性:
- あり
- 参考セキュリティデータベース:
- Mitre の CVE 辞書: CVE-2013-1917, CVE-2013-1919.
- 詳細:
-
複数の脆弱性が Xen ハイパーバイザに発見されました。The Common Vulnerabilities and Exposures project は以下の問題を認識しています:
- CVE-2013-1917
PV ゲストが SYSENTER 命令を利用してシステムコールの処理を高速化することが可能です。 しかし、この命令は EFLAGS レジスタをほとんど変更しません。 これを悪意のある、あるいはおかしなユーザ空間で利用することにより、 ホスト全体のクラッシュを引き起こすことが可能です。
- CVE-2013-1919
様々な IRQ 関連のアクセス制御操作が意図した効力を発揮しないことがあり、 スタブドメインがそのクライアントのドメインに対して、自身はアクセス権限を持たない IRQ へのアクセスを承認することを潜在的に許可します。 これを悪意のある、あるいはおかしなスタブドメインのカーネルが利用して サービス拒否攻撃を仕掛けることが可能で、 システム全体に影響を与える可能性があります。
安定版 (stable) ディストリビューション (squeeze) では、この問題はバージョン 4.0.1-5.9 で修正されています。
テスト版 (testing) ディストリビューション (wheezy) および不安定版 (unstable) ディストリビューション (sid) では、この問題は近く修正予定です。
直ちに xen パッケージをアップグレードすることを勧めます。
- CVE-2013-1917