Säkerhetsbulletin från Debian
DSA-2544-1 xen -- överbelastning
- Rapporterat den:
- 2012-09-08
- Berörda paket:
- xen
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2012-3494, CVE-2012-3496.
- Ytterligare information:
-
Flera överbelastningssårbarheter har upptäckts i Xen, en hypervisor. Projektet Common Vulnerabilities and Exposures har identifierat följande problem:
- CVE-2012-3494:
Man har upptäckt att set_debugreg tillåter att skriva till reserverade bitar i kontrollregistret DR7 för avslusning på amd64 (x86-64) paravirtualiserade gäster, vilket tillåter en gäst att krascha värden.
- CVE-2012-3496:
Matthew Daley upptäckte att XENMEM_populate_physmap, när den kallas med flaggan MEMF_populate_on_demand satt, så kunde en BUG (detekteringsrutin) utlösas om inte
translating paging
-läge inte används, vilket tillåter en gäst att krascha värden.
För den stabila utgåvan (Squeeze) har dessa problem rättats i version 4.0.1-5.4.
För uttestningsutgåvan (Wheezy), kommer dessa problem att rättas inom kort.
För den instabila utgåvan (Sid) har dessa problem rättats i version 4.1.3-2.
Vi rekommenderar att ni uppgraderar era xen-paket.
- CVE-2012-3494: