2017-1544: Xen: Mehrere Schwachstellen ermöglichen u.a. die Eskalation von Privilegien

Historie:

Version 1 (2017-09-04 12:19)

Neues Advisory

Version 2 (2017-09-11 12:26)

Für openSUSE Leap 42.2 steht Xen in der Version 4.7.3 als Sicherheitsupdate zur Behebung der Schwachstellen bereit. Für openSUSE Leap 42.3 erfolgt das Sicherheitsupdate in der Version 4.9.0, über welches die Schwachstelle CVE-2016-9603 nicht adressiert wird, da sie in diesem Versionszweig nicht existiert.

Version 3 (2017-11-16 17:07)

Für SUSE Linux Enterprise Server 12 SP3 steht Xen in der Version 4.9.0 als Sicherheitsupdate bereit, über welches die Schwachstelle CVE-2016-9603 nicht adressiert wird, da sie in diesem Versionszweig nicht existiert.

Betroffene Software

Systemsoftware
Virtualisierung

Betroffene Plattformen

Cloud
Linux

Beschreibung:

Mehrere Schwachstellen ermöglichen auch einem entfernten, nicht authentisierten Angreifer die Durchführung von Denial-of-Service (DoS)-Angriffen. Eine der Schwachstellen kann von einem einfach authentisierten Angreifer im benachbarten Netzwerk möglicherweise zusätzlich für eine Privilegieneskalation und das Ausspähen von Informationen ausgenutzt werden. Eine weitere Schwachstelle ermöglicht diesem Angreifer die Eskalation seiner Privilegien auf die des Hosts und noch ein weitere Schwachstelle das Ausspähen von Informationen.

Für SUSE Linux Enterprise Software Development Kit 12 SP2 und 12 SP3, Desktop 12 SP2 und 12 SP3, Server 12 SP2 sowie SUSE Container as a Service Platform ALL stehen Sicherheitsupdates für 'xen' bereit, um diese Schwachstellen zu beheben. Die Schwachstelle CVE-2016-9603, welche ebenfalls eine Privilegieneskalation ermöglicht, wird nur für die Produkte in Version 12 SP2 und SUSE Container as a Service Platform ALL referenziert. Für diese Produkte wird Xen mittels der Sicherheitsupdates auf die Version 4.7.3 aktualisiert.

Schwachstellen:

CVE-2016-9603

Schwachstelle in Xen / QEMU ermöglicht Privilegieneskalation

CVE-2017-10664

Schwachstelle in Xen / QEMU ermöglicht Denial-of-Service-Angriff

CVE-2017-11434

Schwachstelle in Xen / QEMU ermöglicht Denial-of-Service-Angriff

CVE-2017-12135

Schwachstelle in Xen ermöglicht u.a. Denial-of-Service-Angriff

CVE-2017-12136

Schwachstelle in Xen ermöglicht u.a. Denial-of-Service-Angriff

CVE-2017-12137

Schwachstelle in Xen ermöglicht Privilegieneskalation

CVE-2017-12855

Schwachstelle in Xen ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.