2017-2147: Xen: Zwei Schwachstellen ermöglichen u.a. das Eskalieren von Privilegien
Historie:
- Version 1 (2017-11-29 16:44)
- Neues Advisory
Betroffene Software
Systemsoftware
Virtualisierung
Betroffene Plattformen
Linux
Beschreibung:
Zwei Schwachstellen in Xen ermöglichen einem einfach authentisierten Angreifer im benachbarten Netzwerk mehrere Angriffe: Die Schwachstelle CVE-2017-17045 (XSA-247) ermöglicht dem Angreifer innerhalb der virtuellen Maschine seine Privilegien zu eskalieren und Informationen auszuspähen. Außerdem ermöglichen beide Schwachstellen die Durchführung eines Denial-of-Service (DoS)-Angriffes, welcher sich normalerweise auf das Host-System fortpflanzt.
Der Hersteller veröffentlicht die Xen Security Advisories XSA-246 und XSA-247 um über die Schwachstellen in Xen zu informieren und stellt Patches zu deren Behebung bereit. Betroffen sind Hardware Virtual Machine (HVM)-Gastsysteme mit 86x-Architektur, welche Hardware-gestütztes Paging (Hardware Assisted Paging / HPA) im Bereich von 2 MiB bis 1 GiB nutzen.
Das Fedora-Project stellt für die Distributionen Fedora 26 und 27 Sicherheitsupdates in Form der Pakete 'xen-4.8.2-8.fc26' und 'xen-4.9.1-2.fc27' zur Behebung der Schwachstellen bereit. Die Pakete haben derzeit noch den Status 'pending'.
Schwachstellen:
CVE-2017-17045
Schwachstelle in Xen ermöglicht u. a. PrivilegieneskalationXSA-246
Schwachstelle in Xen ermöglicht Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.