2018-1023: Xen: Mehrere Schwachstellen ermöglichen u.a. die Eskalation von Privilegien
Historie:
- Version 1 (2018-05-29 16:16)
- Neues Advisory
- Version 2 (2018-06-01 18:14)
- Für openSUSE Leap 42.3 steht ein Sicherheitsupdate zur Behebung der Schwachstellen bereit.
Betroffene Software
Systemsoftware
Virtualisierung
Betroffene Plattformen
Cloud
Linux
Beschreibung:
Eine Schwachstelle in Xen ermöglicht es einem einfach authentifizierten Angreifer im benachbarten Netzwerk, einen Denial-of-Service (DoS)-Angriff durchzuführen und eventuell Privilegien zu eskalieren oder Informationen auszuspähen. Ein weitere Schwachstelle ermöglicht einem lokalen, einfach authentifizierten Angreifer einen Denial-of-Service (DoS)-Angriff auf den Host. Die Schwachstelle CVE-2018-3639 in der Implementierung der spekulativen Instruktionsausführung kann ebenfalls von einem lokalen, einfach authentifizierten Angreifer ausgenutzt werden und ermöglicht das Ausspähen von Informationen.
Für die SUSE Linux Enterprise Produkte Software Development Kit, Server und Desktop jeweils in Version 12 SP3 sowie für die SUSE Container-as-a-Service (CaaS) Platform ALL stehen Sicherheitsupdates für 'xen' bereit, um diese Schwachstellen und drei weitere Fehler zu beheben. Hierzu gehören auch weitere Maßnahmen im Kontext der Page Table Isolation (XPTI) für die seit Jahresanfang bekannten Spectre-Schwachstellen. [XSA-254]
Die Mitigation gegen CVE-2018-3639 (XSA-263, Spectre v4) kann beginnend mit diesem Update durch das Kommandozeilenargument 'ssbd=on/off' für den Xen Hypervisor an- und abgeschaltet werden.
Schwachstellen:
CVE-2018-10981
Schwachstelle in Xen ermöglicht Denial-of-Service-AngriffCVE-2018-10982
Schwachstelle in Xen ermöglicht Denial-of-Service-AngriffCVE-2018-3639
Schwachstelle in Implementierung der spekulativen Instruktionsausführung für Mikroprozessoren ermöglicht Ausspähen von Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.