Информация по безопасности / 2015 / Информация о безопасности -- DSA-3140-1 xen

Рекомендация Debian по безопасности

DSA-3140-1 xen -- обновление безопасности

Дата сообщения:

27.01.2015

Затронутые пакеты:

xen

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2014-8594, CVE-2014-8595, CVE-2014-8866, CVE-2014-8867, CVE-2014-9030.

Более подробная информация:

В Xen, решении для виртуализации, были обнаружены многочисленные уязвимости, которые могут приводить к отказам в обслуживании, раскрытию информации и повышению привилегий.

• CVE-2014-8594

  Роджер Пау Моун и Ян Бёлих обнаружили, что неполные ограничения на гипервызовы обновления MMU могут приводить к повышению привилегий.

• CVE-2014-8595

  Ян Бёлих обнаружил, что отсутствие проверок уровней прав доступа в x86-эмуляторе дальних ветвей может приводить к повышению привилегий.

• CVE-2014-8866

  Ян Бёлих обнаружил, что ошибка в режиме совместимости при переводе аргумента гипервызова может приводить к отказу в обслуживании.

• CVE-2014-8867

  Ян Бёлих обнаружил, что недостаточное ограничение в поддержке ускорения для инструкции REP MOVS может приводить к отказу в обслуживании.

• CVE-2014-9030

  Эндрю Купер обнаружил утечку указателя страницы памяти при обработке MMU_MACHPHYS_UPDATE, приводящее к отказу в обслуживании.

В стабильном выпуске (wheezy) эта проблемы были исправлены в версии 4.1.4-3+deb7u4.

В готовящемся стабильном выпуске (jessie) эти проблемы были исправлены в версии 4.4.1-4.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 4.4.1-4.

Рекомендуется обновить пакеты xen.