2018-0397: Xen: Mehrere Schwachstellen ermöglichen verschiedene Denial-of-Service-Angriffe
Historie:
- Version 1 (2018-02-28 17:51)
- Neues Advisory
- Version 2 (2018-03-05 12:21)
- Für Oracle VM 3.4 stehen Backport-Sicherheitsupdates für Xen auf die Versionen 4.4.4-105.0.36 und 4.4.4-155.0.22 in Form von 'rpms' über das 'Unbreakable Linux Network' zur Verfügung. Schwachstelle CVE-2018-7542 [XSA-256] betrifft diese Versionszweige nicht.
Betroffene Software
Systemsoftware
Virtualisierung
Betroffene Plattformen
Linux
Oracle
Hypervisor
Beschreibung:
Mehrere Schwachstellen ermöglichen einem einfach authentisierten Angreifer im benachbarten Netzwerk die Durchführung verschiedener Denial-of-Service (DoS)-Angriffe.
Für Xen stehen Sicherheitsupdates in Form von Patches zur Behebung der Schwachstellen XSA-252, XSA-255 und XSA-256 bereit.
Für Fedora 26 und 27 stehen Sicherheitsupdates in Form der Pakete 'xen-4.8.3-3.fc26' und 'xen-4.9.1-5.fc27' zur Verfügung, welche die drei Denial-of-Service-Schwachstellen (XSA-252, XSA-255, XSA-256) beheben und zusätzlich Mitigationen für XSA-254 (CVE-2017-5715, CVE-2017-5753 und CVE-2017-5754) in Form von Xen Page-Table Isolation (XPTI) und Branch Target Injection (BTI) beinhalten.
Die Schwachstelle CVE-2017-5754 (Meltdown) ermöglicht einem lokalen Angreifer die Kompromittierung des Systems. Die Schwachstellen CVE-2017-5715 und CVE-2017-5753 (Spectre) ermöglichen einem Angreifer im benachbarten Netzwerk das Ausspähen von Informationen.
Schwachstellen:
CVE-2017-5715
Schwachstelle in Implementierung der spekulativen Instruktionsausführung für Mikroprozessoren ermöglicht Ausspähen von InformationenCVE-2017-5753
Schwachstelle in Implementierung der spekulativen Instruktionsausführung für Mikroprozessoren ermöglicht Ausspähen von InformationenCVE-2017-5754
Schwachstelle in Implementierung der spekulativen Instruktionsausführung für Mikroprozessoren ermöglicht Ausspähen von InformationenCVE-2018-7540
Schwachstelle in Xen ermöglicht Denial-of-Service-AngriffCVE-2018-7541
Schwachstelle in Xen ermöglicht Denial-of-Service-AngriffCVE-2018-7542
Schwachstelle in Xen ermöglicht Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.