Informations de sécurité / 2015 / Informations sur la sécurité -- DSA-3140-1 xen

Bulletin d'alerte Debian

DSA-3140-1 xen -- Mise à jour de sécurité

Date du rapport :

27 janvier 2015

Paquets concernés :

xen

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2014-8594, CVE-2014-8595, CVE-2014-8866, CVE-2014-8867, CVE-2014-9030.

Plus de précisions :

Plusieurs problèmes de sécurité ont été découverts dans la solution de virtualisation Xen qui pourraient résulter en un déni de service, la divulgation d'informations ou une augmentation de droits.

• CVE-2014-8594

  Roger Pau Monne et Jan Beulich ont découvert que des restrictions incomplètes sur les hyperappels de mise à jour d'unité de gestion mémoire (MMU) peuvent résulter en une augmentation de droits.

• CVE-2014-8595

  Jan Beulich a découvert qu'un manque de vérification du niveau de droit dans l'émulation de x86 de branches lointaines peut résulter en une augmentation de droits.

• CVE-2014-8866

  Jan Beulich a découvert qu'une erreur dans le mode de compatibilité de la traduction d'argument d'hyperappels peut résulter en un déni de service.

• CVE-2014-8867

  Jan Beulich a découvert qu'une restriction insuffisante dans la gestion de l'accélération pour l'instruction REP MOVS peut résulter en un déni de service.

• CVE-2014-9030

  Andrew Cooper a découvert une fuite de référence de page dans le traitement de MMU_MACHPHYS_UPDATE, résultant en un déni de service.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 4.1.4-3+deb7u4.

Pour la prochaine distribution stable (Jessie), ces problèmes ont été corrigés dans la version 4.4.1-4.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4.4.1-4.

Nous vous recommandons de mettre à jour vos paquets xen.