Informations de sécurité / 2012 / Informations sur la sécurité -- DSA-2544-1 xen

Bulletin d'alerte Debian

DSA-2544-1 xen -- Déni de service

Date du rapport :

8 septembre 2012

Paquets concernés :

xen

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2012-3494, CVE-2012-3496.

Plus de précisions :

Plusieurs vulnérabilités de déni de service ont été découvertes dans Xen, un hyperviseur. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

• CVE-2012-3494:

  set_debugreg permet des écritures sur les bits réservés du registre de contrôle de débogage DR7 sur les hôtes amd64 (x86-64) paravirtualisés, permettant à un client de planter l'hôte.

• CVE-2012-3496:

  Matthew Daley a découvert que dans XENMEM_populate_physmap, quand il est appelé avec le paramètre MEMF_populate_on_demand activé, un bogue (routine de détection) peut être déclenché si un mode de pagination de traduction n'est pas utilisé, permettant à un client de planter l'hôte.

Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 4.0.1-5.4.

Pour la distribution testing (Wheezy), ces problèmes seront corrigés prochainement.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4.1.3-2.

Nous vous recommandons de mettre à jour vos paquets xen.