DFN-CERT

Advisory-Archiv

2021-1238: Xen: Mehrere Schwachstellen ermöglichen u. a. eine Privilegieneskalation

Historie:

Version 1 (2021-06-09 16:47)
Neues Advisory
Version 2 (2021-06-10 16:12)
Der Hersteller Xen hat XSA-375 um drei Schwachstellen ergänzt. Die Schwachstelle CVE-2021-0086 behandelt 'Floating Point Value Injection' (FPVI) und wurde im Rahmen derselben Untersuchung wie CVE-2021-0089 (SCSB) entdeckt und veröffentlicht. Die Schwachstellen CVE-2021-26313 und CVE-2021-26314 entsprechen den Schwachstellen CVE-2021-0089 und CVE-2021-0086, wurden aber spezifisch für AMD-Prozessoren vergeben.

Betroffene Software

Systemsoftware
Virtualisierung

Betroffene Plattformen

Linux
Hypervisor

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen lokal ausnutzen, um Informationen auszuspähen, Privilegien zu eskalieren und Denial-of-Service (DoS)-Angriffe durchzuführen. Für die Ausnutzung aller Schwachstellen sind übliche Privilegien erforderlich. Die erfolgreiche Ausnutzung der meisten Schwachstellen kann Einfluss auf andere Komponenten haben.

Der Hersteller informiert über die Schwachstellen und stellt Patches zu deren Behebung bereit.

Für Fedora 33 und 34 stehen Sicherheitsupdates in Form der Pakete 'xen-4.14.2-2.fc33' und 'xen-4.14.2-2.fc34' bereit, um die Schwachstellen CVE-2021-28693 [XSA-372], CVE-2021-28692 [XSA-373], CVE-2021-0089 [XSA-375] und CVE-2021-28690 [XSA-377] zu beheben.

Schwachstellen:

CVE-2021-0086

Schwachstelle in Intel-Prozessoren ermöglicht Ausspähen von Informationen

CVE-2021-0089

Schwachstelle in Mikroarchitektur von Intel-Prozessoren / Xen ermöglicht Ausspähen von Informationen

CVE-2021-26313

Schwachstelle in Mikroarchitektur von AMD-Prozessoren / Xen ermöglicht Ausspähen von Informationen

CVE-2021-26314

Schwachstelle in AMD-Prozessoren ermöglicht Ausspähen von Informationen

CVE-2021-28690

Schwachstelle in Xen ermöglicht Ausspähen von Informationen

CVE-2021-28691

Schwachstelle in Xen ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-28692

Schwachstelle in Xen ermöglicht u. a. Privilegieneskalation

CVE-2021-28693

Schwachstelle in Xen ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.