2022-0529: Xen: Mehrere Schwachstellen ermöglichen das Ausspähen von Informationen

Historie:

Version 1 (2022-03-09 14:55)

Neues Advisory

Version 2 (2022-03-14 09:57)

Für Fedora 34 steht ein Sicherheitsupdate zur Behebung der in XSA-398 genannten Schwachstellen im Status 'testing' bereit.

Version 3 (2022-03-16 08:33)

Für Fedora 34 steht ein Sicherheitsupdate in Form des Pakets 'xen-4.15.2-2.fc35' im Status 'testing' zur Behebung der in XSA-398 genannten Schwachstellen bereit.

Betroffene Software

Systemsoftware
Virtualisierung

Betroffene Plattformen

Linux
Hypervisor

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen lokal ausnutzen, um Informationen auszuspähen.

Für die Ausnutzung aller Schwachstellen sind übliche Privilegien erforderlich. Die erfolgreiche Ausnutzung einer Schwachstelle kann Einfluss auf andere Komponenten haben.

Der Hersteller informiert über die Schwachstellen und stellt Patches zu deren Behebung bereit.

Da Xen nicht über eine gemanagte Laufzeitumgebung verfügt, wird von einer Verwundbarkeit gegen CVE-2022-0002 nicht ausgegangen. Darüber hinaus verfügt Xen über keine "technischen Spielereien", die für Direct Branch Straight Line Speculation anfällig sind. Deshalb werden für CVE-2021-26341 keine Änderungen bereitgestellt. Für CVE-2022-0001 steht aktuell kein Patch zur Verfügung. Zur Behebung der Schwachstelle CVE-2021-26401 wird ein Workaround beschrieben (siehe Referenz).

Schwachstellen:

CVE-2021-26401

Schwachstelle in AMD Prozessoren ermöglicht Ausspähen von Informationen

CVE-2022-0001

Schwachstelle in Intel Prozessoren ermöglicht Ausspähen von Informationen

CVE-2022-23960

Schwachstelle in ARM Prozessoren ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.