2016-0519: Xen: Zwei Schwachstellen ermöglichen das Ausspähen von Informationen

Historie:

Version 1 (2016-03-29 18:46): Neues Advisory
Version 2 (2016-03-31 12:17): Für die Distributionen Fedora 22 und Fedora 23 stehen Sicherheitsupdates in Form der Pakete xen-4.5.2-10.fc22 bzw. xen-4.5.2-10.fc23 im Status 'testing' zur Verfügung.
Version 3 (2016-04-01 13:42): Das Sicherheitsupdate FEDORA-2016-de92146106 (Paket xen-4.5.2-10.fc22) für die Distribution Fedora 22 wurde in den Status 'obsolete' gesetzt. Es steht ein neues Sicherheitsupdate in Form des Paketes xen-4.5.3-1.fc22 (FEDORA-2016-5f196e4e4a ) im Status 'testing' zur Verfügung.
Version 4 (2016-04-04 13:06): Für die Distribution Fedora 23 steht ein neues Sicherheitsupdate FEDORA-2016-e5432ca977 in Form des Paketes xen-4.5.3-1.fc23 im Status 'testing' zur Verfügung. Das zuvor veröffentlichte Update FEDORA-2016-0d5b1b498f (Paket xen-4.5.2-10.fc23) wurde in den Status 'obsolete' überführt.

Betroffene Software

Betroffene Plattformen

Linux

Beschreibung:

Zwei Schwachstellen in Xen ermöglichen einem entfernten, einfach authentifizierten Angreifer einer anderen Domain, Informationen über Speicherbereiche und Operationszeiten zu erlangen, wodurch z.B. der Sicherheitsmechanismus 'address space randomisation' umgangen werden kann. Außerdem sind ihm Seitenkanalangriffe möglich.

Das Xenproject.org Security Team stellt zur Behebung dieser Schwachstellen Sicherheitsupdates für Xen 4.3, 4.4, 4.5 und 4.6 bereit.

Schwachstellen:

CVE-2016-3158

Schwachstelle in Xen ermöglicht das Ausspähen von Informationen

CVE-2016-3159