2019-0459: Xen: Mehrere Schwachstellen ermöglichen Denial-of-Service-Angriffe und Privlegieneskalationen
Historie:
- Version 1 (2019-03-06 16:45)
- Neues Advisory
Betroffene Software
Systemsoftware
Virtualisierung
Betroffene Plattformen
Linux
Hypervisor
Beschreibung:
Ein einfach authentisierter Angreifer im benachbarten Netzwerk, typischerweise der Benutzer eines PV-Gastsystems, kann mehrere Schwachstellen in Xen ausnutzen, um verschiedene Denial-of-Service (DoS)-Angriffe auch gegen das Hostsystem durchzuführen oder auf verschiedene Arten seine Privilegien zu erweitern. Dies schließt auch den Zugriff auf Daten anderen Gastbenutzer ein, wodurch Informationen ausgespäht werden können, auf welche der Angreifer keinen Zugriff haben sollte.
Der Hersteller informiert über die Schwachstellen und stellt Patches zu deren Behebung zur Verfügung.
Für Fedora 28 und 29 stehen Sicherheitsupdates in Form der Pakete 'xen-4.10.3-2.fc28' und 'xen-4.11.1-4.fc29' bereit, welche sich derzeit noch im Status 'pending' befinden. Das Sicherheitsupdate FEDORA-2019-bce6498890 (Fedora 28, xen-4.10.3-2.fc28) ersetzt dabei das frühere Sicherheitsupdate FEDORA-2019-ca856b52ca (Fedora 28, xen-4.10.3-1.fc28), das in den Status 'obsolete' überführt wurde, und behebt somit weitere Schwachstellen.
Schwachstellen:
XSA-284
Schwachstelle in Xen ermöglicht u. a. Denial-of-Service-AngriffXSA-285
Schwachstelle in Xen ermöglicht PrivilegieneskalationXSA-287
Schwachstelle in Xen ermöglicht u. a. Denial-of-Service-AngriffXSA-288
Schwachstelle in Xen ermöglicht PrivilegieneskalationXSA-290
Schwachstelle in Xen ermöglicht Denial-of-Service-AngriffXSA-291
Schwachstelle in Xen ermöglicht Denial-of-Service-AngriffXSA-292
Schwachstelle in Xen ermöglicht u. a. Denial-of-Service-AngriffXSA-293
Schwachstelle in Xen ermöglicht u. a. PrivilegieneskalationXSA-294
Schwachstelle in Xen ermöglicht Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.