Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3140-1 xen

Säkerhetsbulletin från Debian

DSA-3140-1 xen -- säkerhetsuppdatering

Rapporterat den:

2015-01-27

Berörda paket:

xen

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2014-8594, CVE-2014-8595, CVE-2014-8866, CVE-2014-8867, CVE-2014-9030.

Ytterligare information:

Flera säkerhetsproblem har upptäckts i virtualiseringslösningen Xen som kan leda till överbelastning, utlämnande av information eller utökning av privilegier.

• CVE-2014-8594

  Roger Pau Monne och Jan Beulich upptäckte att ofullständiga restriktioner på MMU-uppdateringshyperanrop kan leda till rättighetseskalering.

• CVE-2014-8595

  Jan Beulich upptäckte att saknad rättighetsnivåkontroll i x86-emuleringen av fjärrgrenar kan leda till utökning av privilegier.

• CVE-2014-8866

  Jan Beulich upptäckte att ett fel i parameteröversättning i hypercalls kompatibilitetsläge kan leda till överbelastning.

• CVE-2014-8867

  Jan Beulich upptäckte att en otillräcklig restriktion i accelerationsstöd för REP MOVS-instruktionen kan leda till överbelastning.

• CVE-2014-9030

  Andrew Cooper upptäckte en sidoreferensläckage i hantering av MMU_MACHPHYS_UPDATE, vilket resulterar i överbelastning.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 4.1.4-3+deb7u4.

För den kommande stabila utgåvan (Jessie) har dessa problem rättats i version 4.4.1-4.

För den instabila utgåvan (Sid) har dessa problem rättats i version 4.4.1-4.

Vi rekommenderar att ni uppgraderar era xen-paket.