Säkerhetsinformation / 2017 / Säkerhetsinformation -- DSA-3969-1 xen

Säkerhetsbulletin från Debian

DSA-3969-1 xen -- säkerhetsuppdatering

Rapporterat den:

2017-09-12

Berörda paket:

xen

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2017-10912, CVE-2017-10913, CVE-2017-10914, CVE-2017-10915, CVE-2017-10916, CVE-2017-10917, CVE-2017-10918, CVE-2017-10919, CVE-2017-10920, CVE-2017-10921, CVE-2017-10922, CVE-2017-12135, CVE-2017-12136, CVE-2017-12137, CVE-2017-12855, CVE-2017-15596.

Ytterligare information:

Flera sårbarheter har upptäckts i Xen-hypervisor:

• CVE-2017-10912

  Jann Horn upptäckte att felaktig hantering av sidöverföringar kan resultera i utökning av privilegier.

• CVE-2017-10913 / CVE-2017-10914

  Jann Horn upptäckte att kapplöpningseffekter i rättighetshantering kan resultera i informationsläckage eller utökning av privilegier.

• CVE-2017-10915

  Andrew Cooper upptäckte att felaktig referensräkning med skuddsidor kan resultera i utökning av privilegier.

• CVE-2017-10916

  Andrew Cooper upptäckts ett informationsläckage i hanteringen av CPU-funktionerna Memory Protection Extensions (MPS) och Protection Key (PKU). Detta påverkar endast Debian Stretch.

• CVE-2017-10917

  Ankur Arora upptäckte en NULL-pekardereferens i händelsepolling, vilket resulterar i överbelastning.

• CVE-2017-10918

  Julien Grall upptäckte att felaktig felhantering i fysisk-till-maskin-minnesmappning kan resultera i rättighetseskalering, överbelastning eller ett informationsläckage.

• CVE-2017-10919

  Julien Grall upptäckte att felaktig hantering av virtuell interruptinjicering på ARM-system kan resultera in överbelastning.

• CVE-2017-10920 / CVE-2017-10921 / CVE-2017-10922

  Jan Beulich upptäckte flera platser där referensräkning på rättighetstabelloperationer var felaktig, vilket resulterar i möjlig utökning av privilegier.

• CVE-2017-12135

  Jan Beulich hittade flera problem i hanteringen av transitiva anslag som kunde resultera i överbelastning och möjligen utökning av privilegier.

• CVE-2017-12136

  Ian Jackson upptäckte att kapplöpningseffekter i allokeraren för anslagsmappning kan resultera i överbelastning eller rättighetseskalering. Detta påverkar endast Debian Stretch.

• CVE-2017-12137

  Andrew Cooper upptäckte att felaktig validering av anslag kan resultera i utökning av privilegier.

• CVE-2017-12855

  Jan Beulich upptäckte att felaktig statushantering av anslag, och därmed felaktig information till gästen att anslaget inte längre används.

• XSA-235 (no CVE yet)

  Wei Lie upptäckte att felaktig låsning av add-to-physmap-operationer på ARM kan resultera i överbelastning.

För den gamla stabila utgåvan (Jessie) har dessa problem rättats i version 4.4.1-9+deb8u10.

För den stabila utgåvan (Stretch) har dessa problem rättats i version 4.8.1-1+deb9u3.

Vi rekommenderar att ni uppgraderar era xen-paket.