セキュリティ情報 / 2013 / セキュリティ情報 -- DSA-2662-1 xen

Debian セキュリティ勧告

DSA-2662-1 xen -- 複数の脆弱性

報告日時:

2013-04-18

影響を受けるパッケージ:

xen

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2013-1917, CVE-2013-1919.

詳細:

複数の脆弱性が Xen ハイパーバイザに発見されました。The Common Vulnerabilities and Exposures project は以下の問題を認識しています:

• CVE-2013-1917

  PV ゲストが SYSENTER 命令を利用してシステムコールの処理を高速化することが可能です。 しかし、この命令は EFLAGS レジスタをほとんど変更しません。 これを悪意のある、あるいはおかしなユーザ空間で利用することにより、 ホスト全体のクラッシュを引き起こすことが可能です。

• CVE-2013-1919

  様々な IRQ 関連のアクセス制御操作が意図した効力を発揮しないことがあり、 スタブドメインがそのクライアントのドメインに対して、自身はアクセス権限を持たない IRQ へのアクセスを承認することを潜在的に許可します。 これを悪意のある、あるいはおかしなスタブドメインのカーネルが利用して サービス拒否攻撃を仕掛けることが可能で、 システム全体に影響を与える可能性があります。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバージョン 4.0.1-5.9 で修正されています。

テスト版 (testing) ディストリビューション (wheezy) および不安定版 (unstable) ディストリビューション (sid) では、この問題は近く修正予定です。

直ちに xen パッケージをアップグレードすることを勧めます。