2018-1244: Xen: Mehrere Schwachstellen ermöglichen u.a. einen Denial-of-Service-Angriff

Historie:

Version 1 (2018-06-28 14:57)

Neues Advisory

Version 2 (2018-06-28 18:04)

Für Debian Stretch (stable) steht ein Sicherheitsupdate auf die Version '4.8.3+xsa267+shim4.10.1+xsa267-1+deb9u9' bereit, um diese Schwachstellen zu beheben.

Version 3 (2018-06-29 16:21)

Für Fedora 28 steht ein Sicherheitsupdate in Form des Paketes 'xen-4.10.1-5.fc28' im Status 'testing' bereit, um die Schwachstellen zu beheben.

Version 4 (2018-07-18 12:00)

Für die SUSE Linux Enterprise Module for Server Applications 15 und for Basesystem 15 stehen Sicherheitsupdates für Xen bereit, die neben den hier referenzierten Schwachstellen auch die Schwachstelle CVE-2018-3665 in der Floating Point Unit (FPU) von Intel Core-i und Xeon-Prozessoren adressieren. Die Schwachstelle kann ein nicht authentifizierter Angreifer im benachbartem Netzwerk ausnutzen, um x87/MMX/SSE/AVX/AVX-512 Registerstatus zu lesen, die zu einer anderen virtuellen CPU gehören, wenn die virtuelle CPU des Gastsystem mit dieser zuvor auf der selben CPU geplant (scheduled) wurde. [XSA-267]

Betroffene Software

Systemsoftware
Virtualisierung

Betroffene Plattformen

Linux
Hypervisor

Beschreibung:

Zwei Schwachstellen ermöglichen einem bösartigen Gastadministrator, als authentisiertem Angreifer im benachbarten Netzwerk, die Durchführung verschiedener Denial-of-Service (DoS)-Angriffe. Eine weitere Schwachstelle ermöglicht einem einfach authentisierten Angreifer im benachbarten Netzwerk auf schreibgeschützte Disk-Images zu schreiben.

Der Hersteller veröffentlicht die Xen Security Advisories XSA-264, XSA-265 und XSA-266 um über die Schwachstellen in Xen zu informieren und stellt Patches zu deren Behebung bereit. Betroffen sind von den Schwachstellen CVE-2018-12891 und CVE-2018-12893 ausschließlich x86-Systeme.

Für Fedora 27 steht ein Sicherheitsupdate in Form des Paketes 'xen-4.9.2-6.fc27' zur Verfügung, welches sich derzeit noch im Status 'pending' befindet. Dieses Sicherheitsupdate ersetzt das ältere Sicherheitsupdate FEDORA-2018-f82bcf6850 und adressiert somit auch die Schwachstelle CVE-2018-3665 [XSA-267].

Schwachstellen:

CVE-2018-12891

Schwachstelle in Xen ermöglicht Denial-of-Service-Angriff

CVE-2018-12892

Schwachstelle in Xen ermöglicht Manipulation von Dateien

CVE-2018-12893

Schwachstelle in Xen ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.