2016-0432: Xen: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes mit den Rechten des Dienstes

Historie:

Version 1 (2016-03-10 19:00): Neues Advisory
Version 2 (2016-03-18 18:22): Für die Distributionen Fedora 22, 23 und 24 stehen mit den Paketen 'qemu-2.3.1-13.fc22' und 'qemu-2.4.1-8.fc23' Sicherheitsupdates für QEMU im Status 'pending', bzw. mit dem Paket 'qemu-2.5.0-10.fc24' im Status 'testing' bereit, welche die Schwachstellen CVE-2016-2538, CVE-2016-2841, CVE-2016-2857 und CVE-2016-2392 beheben. Für Fedora 22 wird zusätzlich eine nicht näher spezifizierte Schwachstelle behoben, die zu einem Denial-of-Service (DoS)-Zustand führt (Red Hat Bug ID 1315049).

Betroffene Software

Virtualisierung

Betroffene Plattformen

Linux

Beschreibung:

Mehrere Schwachstellen in Xen ermöglichen einem einfach authentifizierten Angreifer im benachbarten Netzwerk die Ausführung beliebigen Programmcodes mit den Rechten des Dienstes und verschiedene Denial-of-Service (DoS)-Angriffe durch Speicherkorruption. Ein nicht authentifizierter Angreifer im benachbarten Netzwerk kann mehrere Schwachstellen ausnutzen, um DoS-Angriffe durchzuführen und Informationen auszuspähen.

Für die Distributionen Fedora 22 und 23 stehen entsprechende Pakete als Sicherheitsupdates im Status 'testing' bereit.