Säkerhetsbulletin från Debian
DSA-2662-1 xen -- flera sårbarheter
- Rapporterat den:
- 2013-04-18
- Berörda paket:
- xen
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2013-1917, CVE-2013-1919.
- Ytterligare information:
-
Flera sårbarheter har upptäckts i Xen hypervisor. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
- CVE-2013-1917
Instruktionen SYSENTER kan används av PV-gäster för att accelerera behandling av systemanrop. Dock så lämnar denna instruktion EFLAGS-registret omodifierat. Detta kan användas av ett illasinnat eller buggigt användarområde för att orsaka att värden kraschar.
- CVE-2013-1919
Olika IRQ-relaterade operationer för åtkomstkontroll kanske inte har önskad effekt, och tillåter potentiellt en stub-domän att ge dess klient-domäner åtkomst till en IRQ som den inte har åtkomst till själv. Detta kan användas av illasinnade eller buggiga kärnor till stub-domäner för att montera en överbelastningsattack vilket kan påverka hela systemet.
För den stabila utgåvan (Squeeze) har dessa problem rättats i version 4.0.1-5.9.
För uttestningsutgåvan (Wheezy) och den instabila utgåvan (Sid) kommer dessa problem att rättas inom kort.
Vi rekommenderar att ni uppgraderar era xen-paket.
- CVE-2013-1917