2020-2742: Xen: Mehrere Schwachstellen ermöglichen u. a. Denial-of-Service-Angriffe
Historie:
- Version 1 (2020-12-17 17:39)
- Neues Advisory
- Version 2 (2020-12-18 10:21)
- Der Hersteller stellt einen aktualisierten Patch zur Behebung von CVE-2020-29570 (XSA-358) im 'xen-unstable'-Branch zur Verfügung und aktualisiert die Referenz auf den Patch für CVE-2020-29481 (XSA-322).
Betroffene Software
Systemsoftware
Virtualisierung
Betroffene Plattformen
Netzwerk
Linux
Hypervisor
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen lokal ausnutzen, um Informationen auszuspähen, Privilegien zu eskalieren und einen Denial-of-Service (DoS)-Angriff durchzuführen. Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich, meist jedoch niedrige Privilegien. Die erfolgreiche Ausnutzung der Mehrheit der Schwachstellen kann Einfluss auf andere Komponenten haben.
Citrix stellt die Hotfixes CTX286801, CTX286797 und CTX286793 für XenServer 7.0, CTX286802, CTX286798 und CTX286794 für XenServer 7.1 LTSR CU2, CTX286803, CTX286799 und CTX286795 für Hypervisor 8.1 sowie CTX286804, CTX286800 und CTX286796 für Hypervisor 8.2 LTSR als Sicherheitsupdates zur Behebung der Schwachstellen zur Verfügung.
Für Debian 10 Buster (stable) steht ein Sicherheitsupdate für 'xen' in Version 4.11.4+57-g41a822c392-2 bereit, um die Schwachstellen CVE-2020-29479, CVE-2020-29480, CVE-2020-29481, CVE-2020-29482, CVE-2020-29483, CVE-2020-29484, CVE-2020-29485, CVE-2020-29486, CVE-2020-29566, CVE-2020-29570 und CVE-2020-29571 zu beheben.
Für Fedora 32 und 33 stehen Backport-Sicherheitsupdates in Form der Pakete 'xen-4.13.2-5.fc32' und 'xen-4.14.0-14.fc33' im Status 'testing' zur Behebung der Schwachstellen XSA-115 (CVE-2020-29480), XSA-322 (CVE-2020-29481), XSA-323 (CVE-2020-29482), XSA-324 (CVE-2020-29484), XSA-325 (CVE-2020-29483), XSA-330 (CVE-2020-29485), XSA-348 (CVE-2020-29566), XSA-352 (CVE-2020-29486), XSA-353 (CVE-2020-29479), XSA-356 (CVE-2020-29567), XSA-358 (CVE-2020-29570) und XSA-359 (CVE-2020-29571) zur Verfügung.
Schwachstellen:
CVE-2020-29479
Schwachstelle in Citrix Hypervisor, Citrix XenServer und Xen ermöglicht u. a. Denial-of-Service-AngriffCVE-2020-29480
Schwachstelle in Citrix Hypervisor, Citrix XenServer und Xen ermöglicht Ausspähen von InformationenCVE-2020-29481
Schwachstelle in Citrix Hypervisor, Citrix XenServer und Xen ermöglicht u. a. Denial-of-Service-AngriffCVE-2020-29482
Schwachstelle in Citrix Hypervisor, Citrix XenServer und Xen ermöglicht Denial-of-Service-AngriffCVE-2020-29483
Schwachstelle in Xen ermöglicht Denial-of-Service-AngriffCVE-2020-29484
Schwachstelle in Xen ermöglicht Denial-of-Service-AngriffCVE-2020-29485
Schwachstelle in Citrix Hypervisor, Citrix XenServer und Xen ermöglicht Denial-of-Service-AngriffCVE-2020-29486
Schwachstelle in Citrix Hypervisor, Citrix XenServer und Xen ermöglicht Denial-of-Service-AngriffCVE-2020-29487
Schwachstelle in Citrix Hypervisor, Citrix XenServer und Xen Project Management API (XAPI) ermöglicht Denial-of-Service-AngriffCVE-2020-29566
Schwachstelle in Xen ermöglicht Denial-of-Service-AngriffCVE-2020-29567
Schwachstelle in Xen ermöglicht Denial-of-Service-AngriffCVE-2020-29568
Schwachstelle in Citrix Hypervisor, Citrix XenServer und Xen ermöglicht Denial-of-Service-AngriffCVE-2020-29569
Schwachstelle in Citrix Hypervisor, Citrix XenServer, Linux-Kernel und Xen ermöglicht u. a. PrivilegieneskalationCVE-2020-29570
Schwachstelle in Citrix Hypervisor, Citrix XenServer und Xen ermöglicht Denial-of-Service-AngriffCVE-2020-29571
Schwachstelle in Xen ermöglicht Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.