Debians sikkerhedsbulletin
DSA-4369-1 xen -- sikkerhedsopdatering
- Rapporteret den:
- 14. jan 2019
- Berørte pakker:
- xen
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2018-19961, CVE-2018-19962, CVE-2018-19965, CVE-2018-19966, CVE-2018-19967.
- Yderligere oplysninger:
-
Adskillige sårbarheder er opdaget i hypervisor'en Xen:
- CVE-2018-19961 /
CVE-2018-19962
Paul Durrant opdagede at ukorrekt TLB-håndtering kunne medføre lammelsesangreb, rettighedsforøgelse eller informationslækager.
- CVE-2018-19965
Matthew Daley opdagede at ukorrekt håndtering af INVPCID-instruktionen kunne medføre lammelsesangreb foretaget af PV-gæster.
- CVE-2018-19966
Man opdagede at en regression i rettelsen af CVE-2017-15595 kunne medføre lammelsesangreb, rettighedsforøgelse eller informationslækager foretaget af en PV-gæst.
- CVE-2018-19967
Man opdagede at en fejl i nogle Intel CPU'er kunne medføre lammelsesangreb foretaget af en gæsteinstans.
I den stabile distribution (stretch), er disse problemer rettet i version 4.8.5+shim4.10.2+xsa282-1+deb9u11.
Vi anbefaler at du opgraderer dine xen-pakker.
For detaljeret sikkerhedsstatus vedrørende xen, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/xen
- CVE-2018-19961 /
CVE-2018-19962