2018-1473: Xen, Linux-Kernel: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff

Historie:

Version 1 (2018-07-26 18:08)

Neues Advisory

Version 2 (2018-08-01 12:35)

Für Fedora 27 und 28 stehen Sicherheitsupdates in Form der Pakete 'kernel-4.17.11-200.fc28' und 'kernel-4.17.11-100.fc27' im Status 'testing' zur Behebung der Schwachstelle bereit. Die Updates adressieren nur den Xen-spezifischen Programmcode im Kernel und beheben nicht die Schwachstelle in Xen selbst.

Version 3 (2018-09-07 12:20)

Für Oracle Linux 6 und 7 stehen Sicherheitsupdates für den Unbreakable Enterprise Kernel bereit, mit denen die Schwachstelle behoben wird. Im zugehörigen Changelog werden auch die beiden L1TF-Schwachstellen CVE-2018-3620 und CVE-2018-3646 genannt.

Version 4 (2018-09-10 11:24)

Für Oracle VM 3.4 steht ein Sicherheitsupdate für den Unbreakable Enterprise Kernel bereit, mit dem die Schwachstelle behoben wird. Im zugehörigen Changelog werden auch die beiden L1TF-Schwachstellen CVE-2018-3620 und CVE-2018-3646 genannt.

Betroffene Software

Systemsoftware
Virtualisierung

Betroffene Plattformen

Linux
Oracle
Hypervisor

Beschreibung:

Ein einfach authentisierter Angreifer im benachbarten Netzwerk kann mit Hilfe eines manipulierten Programms die Funktion 'error_exit' aufrufen und dadurch einen vollständigen Denial-of-Service (DoS)-Zustand des Gastsystems bewirken.

Der Hersteller veröffentlicht das Xen Security Advisory XSA-274, um über die Schwachstelle zu informieren, und stellt den Patch 'xsa274-linux-4.17.patch' zu deren Behebung bereit. Betroffen sind ausschließlich Paravirtualization (PV)-Gastsysteme mit 64Bit-Architektur auf einem Host-System mit x86-Architektur.

Schwachstellen:

CVE-2018-14678

Schwachstelle in Xen ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.