Информация по безопасности / 2012 / Информация о безопасности -- DSA-2544-1 xen

Рекомендация Debian по безопасности

DSA-2544-1 xen -- отказ в обслуживании

Дата сообщения:

08.09.2012

Затронутые пакеты:

xen

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2012-3494, CVE-2012-3496.

Более подробная информация:

В гипервизоре Xen были обнаружены многочисленные отказы в обслуживании. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

• CVE-2012-3494:

  Было обнаружено, что set_debugreg позволяет выполнять запись в зарезервированные биты управляющего регистра отладки DR7 на паравиртуализованных гостевых системах с архитектурой amd64 (x86-64), позволяя гостевой системе аварийно завершать работу основной системы.

• CVE-2012-3496:

  Мэтью Доли обнаружил, что XENMEM_populate_physmap, при вызове с набором флагов MEMF_populate_on_demand, может вызывать BUG (функция-определитель) в случае, когда не используется режим перевода страниц, что позволяет гостевой системе аварийно завершать работу основной системы.

В стабильном выпуске (squeeze) эти проблемы были исправлены в версии 4.0.1-5.4.

В тестируемом выпуске (wheezy) эти проблемы будут исправлены позже.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 4.1.3-2.

Рекомендуется обновить пакеты xen.