Bulletin d'alerte Debian
DSA-3633-1 xen -- Mise à jour de sécurité
- Date du rapport :
- 27 juillet 2016
- Paquets concernés :
- xen
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2015-8338, CVE-2016-4480, CVE-2016-4962, CVE-2016-5242, CVE-2016-6258.
- Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans l'hyperviseur Xen. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.
- CVE-2015-8338
Julien Grall a découvert que Xen sur ARM était vulnérable à un déni de service grâce à des opérations durant longtemps en mémoire.
- CVE-2016-4480
Jan Beulich a découvert qu'un traitement incorrect de table de page pourrait avoir pour conséquence une augmentation de droits dans une instance de client Xen.
- CVE-2016-4962
Wei Liu a découvert de multiples cas d'absence de vérification des entrées dans libxl qui pourraient avoir pour conséquence un déni de service.
- CVE-2016-5242
Aaron Cornelius a découvert qu'un traitement incorrect de ressource sur les systèmes ARM pourrait avoir pour conséquence un déni de service.
- CVE-2016-6258
Jeremie Boutoille a découvert qu'un traitement incorrect de table de page dans des instances paravirtuelles (PV) pourrait avoir pour conséquence une augmentation de droits du client vers l'hôte.
Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 4.4.1-9+deb8u6.
Pour la distribution unstable (Sid), ces problèmes seront corrigés prochainement.
Nous vous recommandons de mettre à jour vos paquets xen.
- CVE-2015-8338