2018-1615: Xen: Mehrere Schwachstellen ermöglichen Denial-of-Service-Angriffe und das Ausspähen von Informationen
Historie:
- Version 1 (2018-08-16 17:53)
- Neues Advisory
- Version 2 (2018-08-16 19:51)
- Für Fedora 27 und 28 stehen mit den Paketen 'xen-4.9.2-7.fc27' und 'xen-4.10.1-6.fc28' Sicherheitsupdates zur Behebung der Schwachstellen im Status 'testing' bereit.
Betroffene Software
Systemsoftware
Virtualisierung
Betroffene Plattformen
Linux
Hypervisor
Beschreibung:
Mehrere Schwachstellen in Xen ermöglichen einem nicht oder einfach authentifizierten Angreifer im benachbarten Netzwerk verschiedene Denial-of-Service (DoS)-Angriffe. Xen ist ebenfalls von zwei der unter dem Namen 'L1 Terminal Fault' (L1TF) bekannten Mikroprozessor-Schwachstellen betroffen, die einem Angreifer von einem Gastsystem aus das Ausspähen sensibler Informationen aus dem L1 Data Cache des Hosts ermöglichen.
Der Hersteller informiert über die Schwachstellen und stellt für Xen Sicherheitsupdates bereit, um die Schwachstellen zu beheben. Zur Behebung der L1TF-Schwachstellen sind nach aktuellem Kenntnisstand sowohl Microcode- oder Firmware-Updates als auch Updates für Xen und für die Kernel der eingesetzten Gastsysteme erforderlich.
Schwachstellen:
CVE-2018-3620
Schwachstelle in Implementierung der spekulativen Instruktionsausführung für Mikroprozessoren ermöglicht Ausspähen von InformationenCVE-2018-3646
Schwachstelle in Implementierung der spekulativen Instruktionsausführung für Mikroprozessoren ermöglicht Ausspähen von InformationenXSA-268
Schwachstelle in Xen ermöglicht Denial-of-Service-AngriffXSA-269
Schwachstelle in Xen ermöglicht Denial-of-Service-AngriffXSA-272
Schwachstelle in Xen ermöglicht Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.