Рекомендация Debian по безопасности

DSA-4112-1 xen -- обновление безопасности

Дата сообщения:
14.02.2018
Затронутые пакеты:
xen
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2017-17563, CVE-2017-17564, CVE-2017-17565, CVE-2017-17566.
Более подробная информация:

В гипервизоре Xen были обнаружены многочисленные уязвимости:

  • CVE-2017-17563

    Ян Бёлих обнаружил, что неправильный подсчёт ссылок переполняет проверку в режиме тени для x86, что может приводить к отказу в обслуживанию или повышению привилегий.

  • CVE-2017-17564

    Ян Бёлих обнаружил, что некорректная обработка ошибок при подсчёте ссылок в режиме тени для x86 может приводить к отказу в обслуживании или повышению привилегий.

  • CVE-2017-17565

    Ян Бёлих обнаружил, что неполная проверка ошибок в обработке log-dirty для x86 может приводить к отказу в обслуживании.

  • CVE-2017-17566

    Ян Бёлих обнаружил, что гостевые системы при паравиртуализации x86 могут получить доступ к внутренне используемым страницам памяти, что может приводить к отказу в обслуживании или потенциальному повышению привилегий.

Кроме того, данное обновление содержит прослойку Comet, предназначенную для исправления уязвимостей типа Meltdown в гостевых системах с устаревшими паравиртуализованными ядрами. Также пакет предоставляет средства для минимизации опасности Xen PTI stage 1, которые встроены и включены по умолчанию в системах Intel, но могут быть отключены с помощью команды гипервизора `xpti=false' (не имеет смысла использовать одновременно и xpti, и прослойку Comet).

За подробностями о том, как настроить отдельные стратегии снижения рисков обращайтесь к документации по следующему URL: https://xenbits.xen.org/xsa/advisory-254.html

Дополнительную информацию можно найти в файлах README.pti и README.comet.

В стабильном выпуске (stretch) эти проблемы были исправлены в версии 4.8.3+comet2+shim4.10.0+comet3-1+deb9u4.1.

Рекомендуется обновить пакеты xen.

С подробным статусом поддержки безопасности xen можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/xen