Bulletin d'alerte Debian

DSA-4602-1 xen -- Mise à jour de sécurité

Date du rapport :
13 janvier 2020
Paquets concernés :
xen
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2019-17349, CVE-2019-17350, CVE-2019-18420, CVE-2019-18421, CVE-2019-18422, CVE-2019-18423, CVE-2019-18424, CVE-2019-18425, CVE-2019-19577, CVE-2019-19578, CVE-2019-19579, CVE-2019-19580, CVE-2019-19581, CVE-2019-19582, CVE-2019-19583, CVE-2018-12207, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091, CVE-2019-11135, CVE-2019-17348, CVE-2019-17347, CVE-2019-17346, CVE-2019-17345, CVE-2019-17344, CVE-2019-17343, CVE-2019-17342, CVE-2019-17341, CVE-2019-17340.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans l'hyperviseur Xen, qui pourraient avoir pour conséquence un déni de service, une élévation de privilèges du client à ceux de l'hôte ou des fuites d'informations.

En complément, cette mise à jour fournit des atténuations pour les attaques spéculatives par canal auxiliaire TSX Asynchronous Abort. Pour davantage d'informations, veuillez consulter https://xenbits.xen.org/xsa/advisory-305.html.

Pour la distribution oldstable (Stretch), ces problèmes ont été corrigés dans la version 4.8.5.final+shim4.10.4-1+deb9u12. Notez que cela sera la dernière mise à jour de sécurité pour Xen dans la distribution oldstable ; la prise en charge amont pour la branche 4.8.x s'est achevée à la fin du mois de décembre 2019. Si vous dépendez du suivi de sécurité pour votre installation de Xen, une mise à jour vers la distribution stable (Buster) est recommandée.

Pour la distribution stable (Buster), ces problèmes ont été corrigés dans la version 4.11.3+24-g14b62ab3e5-1~deb10u1.

Nous vous recommandons de mettre à jour vos paquets xen.

Pour disposer d'un état détaillé sur la sécurité de xen, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/xen.