Debians sikkerhedsbulletin

DSA-4602-1 xen -- sikkerhedsopdatering

Rapporteret den:
13. jan 2020
Berørte pakker:
xen
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2019-17349, CVE-2019-17350, CVE-2019-18420, CVE-2019-18421, CVE-2019-18422, CVE-2019-18423, CVE-2019-18424, CVE-2019-18425, CVE-2019-19577, CVE-2019-19578, CVE-2019-19579, CVE-2019-19580, CVE-2019-19581, CVE-2019-19582, CVE-2019-19583, CVE-2018-12207, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091, CVE-2019-11135, CVE-2019-17348, CVE-2019-17347, CVE-2019-17346, CVE-2019-17345, CVE-2019-17344, CVE-2019-17343, CVE-2019-17342, CVE-2019-17341, CVE-2019-17340.
Yderligere oplysninger:

Adskillige sårbarheder er opdaget i Xen-hypervisoren, hvilke kunne medføre lammelsesangreb, gæst til vært-rettighedsforøgelse eller informationslækager.

Desuden indeholder denne opdatering en afhjælpelse af det spekulative sidekanalangreb TSX Asynchronous Abort. For flere oplysninger, se https://xenbits.xen.org/xsa/advisory-305.html.

I den gamle stabile distribution (stretch), er disse problemer rettet i version 4.8.5.final+shim4.10.4-1+deb9u12. Bemærk at dette er den sidste sikkerhedsopdatering af Xen i den gamle stabile distribution; opstrømsunderstøttelse af 4.8.x-forgreningen ophørte med udgangen af december 2019. Hvis du er afhængig af at din Xen-installation har sikkerhedsunderstøttelse anbefales det at opdatere til den stabile distribution (buster).

I den stabile distribution (buster), er disse problemer rettet i version 4.11.3+24-g14b62ab3e5-1~deb10u1.

Vi anbefaler at du opgraderer dine xen-pakker.

For detaljeret sikkerhedsstatus vedrørende xen, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/xen