2017-1441: Xen: Mehrere Schwachstellen ermöglichen u.a. das Eskalieren von Privilegien

Historie:

Version 1 (2017-08-15 19:17): Neues Advisory
Version 2 (2017-08-21 11:10): Für Fedora 25 und 26 stehen die Pakete 'xen-4.7.3-2.fc25' und 'xen-4.8.1-6.fc26' als Sicherheitsupdates im Status 'testing' bereit. Fedora adressiert in den Sicherheitsupdates zudem die beiden Schwachstellen CVE-2017-5579 und CVE-2017-7718 in QEMU, die einem einfach authentisierten Angreifer im benachbarten Netzwerk weitere Denial-of-Service (DoS)-Angriffe ermöglichen.

Betroffene Software

Systemsoftware
Virtualisierung

Betroffene Plattformen

Linux
Hypervisor

Beschreibung:

Mehrere Schwachstellen in Xen ermöglichen einem einfach authentisierten Angreifer im benachbarten Netzwerk das Eskalieren von Privilegien, das Ausspähen von Informationen sowie die Durchführung verschiedener Denial-of-Service (DoS)-Angriffe.

Der Hersteller bestätigt die verschiedenen Schwachstellen in Xen und stellt Patches zur Behebung der einzelnen Schwachstellen zur Verfügung. Betroffen sind alle aktuellen Versionszweige von Xen. Für ältere Versionszweige stehen keine Informationen zur Verfügung. Zwei der Schwachstellen betreffen spezielle Systemarchitekturen (XSA-227, XSA-229), eine der Schwachstellen wurde mit Xen 4.6.x eingeführt und betrifft daher Xen 4.5.x und frühere Versionen nicht (XSA-228).

Schwachstellen:

CVE-2017-12134

Schwachstelle in Xen ermöglicht u.a. Privilegieneskalation

CVE-2017-12135

Schwachstelle in Xen ermöglicht u.a. Denial-of-Service-Angriff

CVE-2017-12136

Schwachstelle in Xen ermöglicht u.a. Denial-of-Service-Angriff

CVE-2017-12137

Schwachstelle in Xen ermöglicht Privilegieneskalation

CVE-2017-12855

Schwachstelle in Xen ermöglicht Ausspähen von Informationen

CVE-2017-5579

Schwachstelle in Xen / QEMU ermöglicht Denial-of-Service-Angriff

CVE-2017-7718