Рекомендация Debian по безопасности
DSA-3554-1 xen -- обновление безопасности
- Дата сообщения:
- 21.04.2016
- Затронутые пакеты:
- xen
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2016-3158, CVE-2016-3159, CVE-2016-3960.
- Более подробная информация:
-
В гипервизоре Xen были обнаружены многочисленные уязвимости. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:
- CVE-2016-3158,
CVE-2016-3159 (XSA-172)
Ян Бойлих из SUSE обнаружил, что Xen неправильно обрабатывает записи в бит FSW.ES при работе на процессорах с архитектурой AMD64. Гостевая система злоумышленника может использовать эту уязвимость для получения информации об использовании адресного пространства и информации о таймингах другой гостевой системы.
- CVE-2016-3960 (XSA-173)
Лин Лю и Ихань Лянь из команды облачной безопасности Qihoo 360 обнаружили переполнение целых чисел в коде теневой таблицы переадресации страниц для x86. Гостевая система HVM, использующая теневые таблицы переадресации, может вызывать аварийную остановку главной системы. Гостевая система PV, использующая теневые таблицы переадресации (то есть, перемещаемая) с включёнными суперстраницами PV (что не используется по умолчанию) может вызвать аварийную остановку главной системы или повреждение содержимого памяти гипервизора, что потенциально приводит к повышению привилегий.
В стабильном выпуске (jessie) эти проблемы были исправлены в версии 4.4.1-9+deb8u5.
Рекомендуется обновить пакеты xen.
- CVE-2016-3158,
CVE-2016-3159 (XSA-172)