DFN-CERT

Advisory-Archiv

2017-1607: Xen: Mehrere Schwachstellen ermöglichen u.a. eine Privilegieneskalation

Historie:

Version 1 (2017-09-12 19:02)
Neues Advisory
Version 2 (2017-09-13 12:02)
Für die SUSE Linux Enterprise Produkte Software Development Kit, Server und Desktop in der Version 12 SP3 stehen Sicherheitsupdates für den Xen Versionszweig 4.9 bereit. Für die Distributionen Fedora 26 und 27 stehen Sicherheitsupdates in Form der Pakete 'xen-4.8.2-2.fc26' und 'xen-4.9.0-10.fc27' im Status 'pending' zur Verfügung.
Version 3 (2017-09-15 11:18)
Für die SUSE Linux Enterprise Server Produktvarianten SAP 12 SP1 und 12 SP1 LTSS sowie SUSE OpenStack Cloud 6 stehen Sicherheitsupdates bereit, um die Schwachstellen in Xen zu beheben.
Version 4 (2017-09-18 11:41)
openSUSE veröffentlicht für die Distribution openSUSE Leap 42.3 ein Sicherheitsupdate für Xen. Für Fedora 25 steht das Paket 'xen-4.7.3-5.fc25' als Sicherheitsupdate im Status 'testing' zur Verfügung.
Version 5 (2017-09-18 19:12)
Für die SUSE Linux Enterprise Produkte Software Development Kit, Server und Desktop in der Version 12 SP2 sowie SUSE Container as a Service Platform ALL stehen Backport-Sicherheitsupdates für Xen in dem Versionszweig 4.7 bereit.
Version 6 (2017-09-21 16:33)
Für openSUSE Leap 42.2 steht ein Sicherheitsupdate für 'xen' bereit.
Version 7 (2017-10-02 18:41)
Für SUSE Linux Enterprise Server 11 SP3 LTSS und Debuginfo 11 SP3 stehen Sicherheitsupdates für Xen zur Verfügung, über die die Schwachstellen CVE-2017-14316, CVE-2017-14317 und CVE-2017-14319 behoben werden.
Version 8 (2017-10-25 14:21)
Für Oracle VM 3.2, Oracle VM 3.3 und Oracle VM 3.4 stehen Sicherheitsupdates für Xen bereit, durch welche die Schwachstellen CVE-2017-14316, CVE-2017-14317 und CVE-2017-14319 adressiert werden.

Betroffene Software

Systemsoftware
Virtualisierung

Betroffene Plattformen

Netzwerk
Cloud
Linux
Oracle
Hypervisor

Beschreibung:

Mehrere Schwachstellen in Xen können von einem einfach authentisierten Angreifer im benachbarten Netzwerk für das Eskalieren von Privilegien, das Ausführen beliebigen Programmcodes und die Durchführung verschiedener Denial-of-Service (DoS)-Angriffe ausgenutzt werden. Eine Schwachstelle erfordert für das Bewirken eines Denial-of-Service-Zustandes eine lokale Anmeldung am System.

Der Hersteller bestätigt die Schwachstellen für die unterstützten Xen Versionen 4.5.x, 4.6.x, 4.7.x, 4.8.x und 4.9.x und stellt Sicherheitsupdates zur Behebung bereit.

Schwachstellen:

CVE-2017-14316

Schwachstelle in Xen ermöglicht Ausführen beliebigen Programmcodes

CVE-2017-14317

Schwachstelle in Xen ermöglicht Denial-of-Service-Angriff

CVE-2017-14318

Schwachstelle in Xen ermöglicht Privilegieneskalation

CVE-2017-14319

Schwachstelle in Xen ermöglicht Privilegieneskalation

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.