Säkerhetsinformation / 2013 / Säkerhetsinformation -- DSA-2662-1 xen

Säkerhetsbulletin från Debian

DSA-2662-1 xen -- flera sårbarheter

Rapporterat den:

2013-04-18

Berörda paket:

xen

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2013-1917, CVE-2013-1919.

Ytterligare information:

Flera sårbarheter har upptäckts i Xen hypervisor. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

• CVE-2013-1917

  Instruktionen SYSENTER kan används av PV-gäster för att accelerera behandling av systemanrop. Dock så lämnar denna instruktion EFLAGS-registret omodifierat. Detta kan användas av ett illasinnat eller buggigt användarområde för att orsaka att värden kraschar.

• CVE-2013-1919

  Olika IRQ-relaterade operationer för åtkomstkontroll kanske inte har önskad effekt, och tillåter potentiellt en stub-domän att ge dess klient-domäner åtkomst till en IRQ som den inte har åtkomst till själv. Detta kan användas av illasinnade eller buggiga kärnor till stub-domäner för att montera en överbelastningsattack vilket kan påverka hela systemet.

För den stabila utgåvan (Squeeze) har dessa problem rättats i version 4.0.1-5.9.

För uttestningsutgåvan (Wheezy) och den instabila utgåvan (Sid) kommer dessa problem att rättas inom kort.

Vi rekommenderar att ni uppgraderar era xen-paket.