Sikkerhedsoplysninger / 2015 / Sikkerhedsoplysninger -- DSA-3140-1 xen

Debians sikkerhedsbulletin

DSA-3140-1 xen -- sikkerhedsopdatering

Rapporteret den:

27. jan 2015

Berørte pakker:

xen

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2014-8594, CVE-2014-8595, CVE-2014-8866, CVE-2014-8867, CVE-2014-9030.

Yderligere oplysninger:

Adskillige sikkerhedsproblemer blev opdaget i virtualiseringsløsningen Xen, hvilke kunne medføre lammelsesangreb (denial of service), informationsafsløring eller rettighedsforøgelse.

• CVE-2014-8594

  Roger Pau Monne og Jan Beulich opdagede at ufuldstændige begrænsinger på MMU-opdateringshyperkald, kunne medføre rettighedsforøgelse.

• CVE-2014-8595

  Jan Beulich opdagede at manglende kontroller af rettighedsniveau i x86-emularingen af fjerne forgreninger, kunne medføre rettighedsforøgelse.

• CVE-2014-8866

  Jan Beulich opdagede at en fejl i parameteroversættelsen af hyperkald i kompatibilitetstilstand, kunne medføre lammelsesangreb.

• CVE-2014-8867

  Jan Beulich opdagede at en utilstrækkelig begrænsing i accelerationunderstøttelsen af REP MOVS-instruktionen, kunne medføre lammelsesangreb.

• CVE-2014-9030

  Andrew Cooper opdagede en sidereferencelækage i håndteringen af MMU_MACHPHYS_UPDATE, medførende lammelsesangreb.

I den stabile distribution (wheezy), er disse problemer rettet i version 4.1.4-3+deb7u4.

I den kommende stabile distribution (jessie), er disse problemer rettet i version 4.4.1-4.

I den ustabile distribution (sid), er disse problemer rettet i version 4.4.1-4.

Vi anbefaler at du opgraderer dine xen-pakker.