DFN-CERT

Advisory-Archiv

2014-0318: Xen: Mehrere Schwachstellen ermöglichen DoS und Privilegieneskalation

Historie:

Version 1 (2014-03-14 17:28)
Neues Advisory

Betroffene Software

Betroffene Plattformen

Linux

Beschreibung:

Mehrere Schwachstellen in Xen können hauptsächlich von Angreifern mit Gastrechten aus dem benachbarten Netzwerk, einige aber auch von entfernten, authentifizierten Angreifern, ausgenutzt werden, um entweder einen Denial-of-Service-Zustand herbeizuführen oder Administratorrechte zu erlangen und beliebige Befehle zur Ausführung zu bringen.

Für die Distribution SUSE Linux Enterprise Server 11 SP2 LTSS wurde ein Sicherheitsupdate herausgebracht, welches die folgenden Schwachstellen adressiert:
CVE-2013-2212 CVE-2013-4553 CVE-2013-4554 CVE-2013-6885 CVE-2014-1666 CVE-2014-1891 CVE-2014-1892 CVE-2014-1893 CVE-2014-1894 CVE-2014-1950.

Für die Distributionen SUSE Linux Enterprise Software Development Kit 11 SP3, SUSE Linux Enterprise Server 11 SP3 und SUSE Linux Enterprise Desktop 11 SP3 wurden Sicherheitsupdates herausgebracht, welche die folgenden Schwachstellen adressieren:
CVE-2013-2212 CVE-2013-6400 CVE-2013-6885 CVE-2014-1642 CVE-2014-1666 CVE-2014-1891 CVE-2014-1892 CVE-2014-1893 CVE-2014-1894 CVE-2014-1895 CVE-2014-1896 CVE-2014-1950.

Schwachstellen:

CVE-2013-2212

Xen: Schwachstelle ermöglicht Denial-of-Service

CVE-2013-4553

XEN_DOMCTL_getmemlist erlaubt einen Denial-of-Service-Angriff

CVE-2013-4554

Hypercall-Anfragen nicht geblockt aus Ring 1 und 2

CVE-2013-6400

Schwachstelle in Xen IOMMU

CVE-2013-6885

Denial-of-Service bei Xen ab Version 3.3 auf bestimmten AMD-Prozessoren

CVE-2014-1642

Schwachstelle in IRQ-Setup für Xen 4.2.x und Xen 4.3.x

CVE-2014-1666

Unzureichende Überprüfung von Berechtigungen in Xen

CVE-2014-1891

Schwachstelle in Xen für XSM/Flask-Hypercalls

CVE-2014-1892

Schwachstelle in Xen für FLASK_{GET,SET}BOOL-Hypercall

CVE-2014-1893

Schwachstelle in Xen für FLASK_{GET,SET}BOOL-Hypercall

CVE-2014-1894

Schwachstelle in Xen für FLASK_{GET,SET}BOOL-Hypercall

CVE-2014-1895

Schwachstelle in Xen für FLASK_AVC_CACHESTAT-Hypercall

CVE-2014-1896

Schwachstelle in Xen libvchan library

CVE-2014-1950

Xen: Use-After-Free Schwachstelle ermöglicht Ausführung beliebiger Befehle

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.