DFN-CERT

Advisory-Archiv

2018-0988: Xen: Mehrere Schwachstellen ermöglichen u.a. eine Privilegieneskalation

Historie:

Version 1 (2018-05-23 17:14)
Neues Advisory

Betroffene Software

Systemsoftware
Virtualisierung

Betroffene Plattformen

Oracle

Beschreibung:

Mehrere Schwachstellen in Xen ermöglichen einem zumeist einfach authentifizierten Angreifer im benachbarten Netzwerk verschiedene Denial-of-Service-Angriffe, in einigen Fällen kann nicht ausgeschlossen werden, dass zusätzlich auch das Ausspähen von Informationen und eine Privilegienenskalation möglich sind. Ein lokaler, authentifizierter Angreifer kann eine weitere Schwachstelle für alle drei genannten Angriffe ausnutzen.

Oracle hat in kurzem Abstand zwei Sicherheitsupdates für Oracle VM 3.4 zur Verfügung gestellt, mit denen die Schwachstellen behoben werden. Im Gegensatz zu OVMSA-2018-0218 werden in OVMSA-2018-0221 die Schwachstellen in der Implementierung der spekulativen Instruktionsausführung (CVE-2017-5715, CVE-2017-5753 und CVE-2017-5754) sowie die Schwachstellen CVE-2018-7540 und CVE-2018-7541 nicht mehr genannt. Diese Schwachstellen wurden alle bereits mit OVMSA-2018-0020 für Oracle VM 3.4 adressiert.

Schwachstellen:

CVE-2017-17565

Schwachstelle in Xen ermöglicht Denial-of-Service-Angriff

CVE-2017-17566

Schwachstelle in Xen ermöglicht u. a. Denial-of-Service-Angriff

CVE-2017-5715

Schwachstelle in Implementierung der spekulativen Instruktionsausführung für Mikroprozessoren ermöglicht Ausspähen von Informationen

CVE-2017-5753

Schwachstelle in Implementierung der spekulativen Instruktionsausführung für Mikroprozessoren ermöglicht Ausspähen von Informationen

CVE-2017-5754

Schwachstelle in Implementierung der spekulativen Instruktionsausführung für Mikroprozessoren ermöglicht Ausspähen von Informationen

CVE-2018-10981

Schwachstelle in Xen ermöglicht Denial-of-Service-Angriff

CVE-2018-10982

Schwachstelle in Xen ermöglicht Denial-of-Service-Angriff

CVE-2018-7540

Schwachstelle in Xen ermöglicht Denial-of-Service-Angriff

CVE-2018-7541

Schwachstelle in Xen ermöglicht Denial-of-Service-Angriff

CVE-2018-8897

Schwachstelle in der Behandlung von Hardware Debug Ausnahmefehlern ermöglicht u. a. Privilegieneskalation

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.