2017-2147: Xen: Zwei Schwachstellen ermöglichen u.a. das Eskalieren von Privilegien

Historie:

Version 1 (2017-11-29 16:44)

Neues Advisory

Betroffene Software

Systemsoftware
Virtualisierung

Betroffene Plattformen

Linux

Beschreibung:

Zwei Schwachstellen in Xen ermöglichen einem einfach authentisierten Angreifer im benachbarten Netzwerk mehrere Angriffe: Die Schwachstelle CVE-2017-17045 (XSA-247) ermöglicht dem Angreifer innerhalb der virtuellen Maschine seine Privilegien zu eskalieren und Informationen auszuspähen. Außerdem ermöglichen beide Schwachstellen die Durchführung eines Denial-of-Service (DoS)-Angriffes, welcher sich normalerweise auf das Host-System fortpflanzt.

Der Hersteller veröffentlicht die Xen Security Advisories XSA-246 und XSA-247 um über die Schwachstellen in Xen zu informieren und stellt Patches zu deren Behebung bereit. Betroffen sind Hardware Virtual Machine (HVM)-Gastsysteme mit 86x-Architektur, welche Hardware-gestütztes Paging (Hardware Assisted Paging / HPA) im Bereich von 2 MiB bis 1 GiB nutzen.

Das Fedora-Project stellt für die Distributionen Fedora 26 und 27 Sicherheitsupdates in Form der Pakete 'xen-4.8.2-8.fc26' und 'xen-4.9.1-2.fc27' zur Behebung der Schwachstellen bereit. Die Pakete haben derzeit noch den Status 'pending'.

Schwachstellen:

CVE-2017-17045

Schwachstelle in Xen ermöglicht u. a. Privilegieneskalation

XSA-246

Schwachstelle in Xen ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.