Debians sikkerhedsbulletin
DSA-3633-1 xen -- sikkerhedsopdatering
- Rapporteret den:
- 27. jul 2016
- Berørte pakker:
- xen
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2015-8338, CVE-2016-4480, CVE-2016-4962, CVE-2016-5242, CVE-2016-6258.
- Yderligere oplysninger:
-
Adskillige sårbarheder er opdaget i hypervisoren Xen. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:
- CVE-2015-8338
Julien Grall opdagede at Xen på ARM var sårbar over for lammelsesangreb (denial of service) gennem længekørende hukommelseshandlinger.
- CVE-2016-4480
Jan Beulich opdagede at ukorrekt pagetable-håndtering, kunne medføre rettighedsforøgelse inde i en Xen-gæsteinstans.
- CVE-2016-4962
Wei Liu opdagede adskillige tilfælde af manglende fornuftighedskontrol af inddata i libxl, hvilke kunne medføre lammelsesangreb.
- CVE-2016-5242
Aaron Cornelius opdagede at ukorrekt ressourcehåndtering på ARM-systemer, kunne medføre lammelsesangreb.
- CVE-2016-6258
Jeremie Boutoille opdagede at ukorrekt pagetable-håndtering i PV-instanser, kunne medføre i gæst til vært-rettighedsforøgelse.
I den stabile distribution (jessie), er disse problemer rettet i version 4.4.1-9+deb8u6.
I den ustabile distribution (sid), vil disse problemer snart blive rettet.
Vi anbefaler at du opgraderer dine xen-pakker.
- CVE-2015-8338