2016-1222: Xen: Mehrere Schwachstellen ermöglichen u.a. das Erlangen von Administratorrechten

Historie:

Version 1 (2016-07-28 16:51): Neues Advisory

Betroffene Software

Systemsoftware
Virtualisierung

Betroffene Plattformen

Oracle

Beschreibung:

Mehrere Schwachstellen in Xen ermöglichen auch einem entfernten, nicht authentifizierten Angreifer das Durchführen verschiedener Denial-of-Service (DoS)-Angriffe. Zwei weitere Schwachstellen ermöglichen einem entfernten, einfach authentifizierten Angreifer das Ausspähen von Informationen und mehrere weitere Schwachstellen erlauben einem einfach authentifizierten Angreifer aus dem benachbarten Netzwerk eine Privilegieneskalation bis hin zu Administratorrechten und das Ausführen beliebigen Programmcodes mit den Rechten des Dienstes. Eine Schwachstelle ermöglicht darüber hinaus einem lokalen, nicht authentifizierten Angreifer das Ausspähen von Informationen.

Für Oracle VM 3.2, 3.3 und 3.4 stehen Sicherheitsupdates für Xen 4.1.3, 4.3.0 bzw. 4.44 bereit, um die jeweiligen Schwachstellen zu beheben.

Schwachstellen:

CVE-2014-3615

Schwachstelle in QEMU ermöglicht das Ausspähen von Informationen

CVE-2014-3672

Schwachstelle in Xen / QEMU ermöglicht Denial-of-Service

CVE-2015-8550

Schwachstelle in Xen ermöglicht Privilegieneskalation

CVE-2016-2270

Schwachstelle in Xen ermöglicht Denial-of-Service-Angriff

CVE-2016-3158

Schwachstelle in Xen ermöglicht das Ausspähen von Informationen

CVE-2016-3159

Schwachstelle in Xen ermöglicht das Ausspähen von Informationen

CVE-2016-3710

Schwachstelle in QEMU ermöglicht Ausführung beliebigen Programmcodes mit den Rechten des Dienstes

CVE-2016-3712

Schwachstelle in QEMU ermöglicht Denial-of-Service-Angriff

CVE-2016-3960