Open Source im professionellen Einsatz

DFN-CERT-2017-1627 Xen: Mehrere Schwachstellen ermöglichen u.a. die Eskalation von Privilegien [Linux][SuSE]

14.09.2017

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Xen


Betroffene Plattformen:

SUSE Linux Enterprise Debuginfo 11 SP4
SUSE Linux Enterprise Software Development Kit 11 SP4
SUSE Linux Enterprise Server 11 SP4



Mehrere Schwachstellen in Xen ermöglichen zumeist einem authentisierten
Benutzer im benachbarten Netzwerk, als Angreifer, das Ausspähen von
Informationen, die Durchführung von Denial-of-Service (DoS)-Angriffen, die
Ausführung beliebigen Programmcodes und die Erweiterung der eigenen
Privilegien. Über einzelne Schwachstellen kann auch ein lokaler,
authentisierter oder nicht authentisierter Angreifer sowie ein entfernter,
nicht authentisierter Angreifer einen Denial-of-Service-Zustand bewirken.

Für die SUSE Linux Enterprise Produkte Software Development Kit, Server und
Debuginfo in der Version 11 SP4 stehen Sicherheitsupdates für Xen bereit,
die diese Schwachstellen beheben.


Patch:

SUSE Security Update SUSE-SU-2017:2450-1

<http://lists.suse.com/pipermail/sle-security-updates/2017-September/003213.html>


CVE-2017-14319: Schwachstelle in Xen ermöglicht Privilegieneskalation

Beim Entfernen oder Ersetzen eines 'Grant Mappings' muss in dem für x86
PV-Gäste spezifischen Pfad sichergestellt werden, dass
Seitentabelleneinträge (Page Table Entries) synchronisiert mit anderem
'Accounting' bleiben. Obwohl die Identität des Seitenrahmens (Page Frame)
korrekt validiert wird, wird weder das Vorhandensein des Mappings, noch die
Beschreibbarkeit der Seite (Page Writability) in Betracht gezogen. Ein
bösartiger oder fehlerhafter x86 PV-Gast, als einfach authentisierter
Angreifer im benachbarten Netzwerk, kann diese Schwachstelle ausnutzen, um
eine Privilegieneskalation durchzuführen oder den Hypervisor zum Absturz zu
bringen (Denial-of-Service) (XSA-234).


CVE-2017-14317: Schwachstelle in Xen ermöglicht Denial-of-Service-Angriff

Eine Schwachstelle in Xen beruht auf einer doppelten Freigabe (Double-free)
aufgrund einer Race Condition (Wettlaufsituation) in 'cxenstored' beim
Herunterfahren einer VM mit einer 'stubdomain'. Ein lokaler, authentisierter
Angreifer kann den 'xenstored' Daemon dadurch zum Absturz bringen und einen
Denial-of-Service (DoS)-Zustand für die Teile des Systems bewirken, die den
Daemon für ihre Arbeit benötigen. Systeme die 'oxenstored' anstelle von
'xenstored' verwenden, sind von der Schwachstelle nicht betroffen (XSA-233).


CVE-2017-14316: Schwachstelle in Xen ermöglicht Ausführen beliebigen
Programmcodes

Die Funktion 'alloc_heap_pages' erlaubt dem Aufrufer der Funktion den ersten
'NUMA' Knoten mittels des 'memflags' Parameters zu spezifizieren, der für
Allokationen verwendet werden soll. Der Knoten wird mittels des
'MEMF_get_node'-Makros extrahiert. Die Funktion überprüft, ob die Konstante
'NUMA_NO_NODE' spezifiziert ist, lässt den Fall, dass 'node >= MAX_NUMNODES'
ist allerdings unbehandelt. Ein einfach authentisierter Angreifer im
benachbarten Netzwerk kann diese Schwachstelle ausnutzen, um einen Zugriff
außerhalb zulässiger Begrenzungen (Out-of-bounds Access) auf ein internes
Array durchzuführen und damit über manipulierte Hypercalls beliebigen
Programmcode innerhalb von Xen zur Ausführung zu bringen (XSA-231).


CVE-2017-12855: Schwachstelle in Xen ermöglicht Ausspähen von Informationen

Die '_GTF_{reading,writing}'-Bits werden von Xen gesetzt, um Gastbenutzer
darüber zu informieren, ob ein 'Grant' verwendet wird. Von einem
Gastbenutzer wird erwartet, dass er 'Grant Details' nicht verändert, während
der 'Grant' verwendet wird. Der Gastbenutzer kann jedoch einen 'Grant Entry'
verändern oder wiederverwenden, wenn dieser nicht in Verwendung ist. Unter
bestimmten Umständen kann es passieren, dass Xen die Status-Bits zu früh
freigibt, so dass der Gastbenutzer fälschlich informiert wird, dass ein
'Grant' nicht länger verwendet würde. Ein einfach authentisierter Angreifer
im benachbarten Netzwerk, welcher eine Domäne kontrolliert, kann diese
Schwachstelle ausnutzen, um Informationen eines anderen Gastbenutzers
auszuspähen, falls dieser einen 'Granted Frame' in dem falschen Glauben
verwendet, dass dieser wieder einen sicheren, privaten Status hat (XSA-230).


CVE-2017-12137: Schwachstelle in Xen ermöglicht Privilegieneskalation

Beim 'Mapping' einer 'Grant'-Referenz muss ein Gastbenutzer Xen darüber
informieren, worauf der 'Grant' gemappt werden soll. Für PV-Gastbenutzer
erfolgt das durch Angabe einer existenten linearen Adresse oder eines
L1-Seitentabelleneintrags, welcher zu verändern ist. In keinem dieser
PV-Pfade wird auf einen Abgleich der weitergegebenen Parameter geprüft. Die
lineare Adresse wird bei der Berechnung des zu verwendenden L1-Eintrages
passend abgeschnitten, aber in dem Pfad, der einen direkt nominierten
L1-Eintrag verwendet, erfolgen keine Prüfungen. Dadurch führt Xen ein
fehlerhaft abgeglichenes Update der Seitentabelle durch, wodurch sowohl der
beabsichtigte Eintrag als auch alle nachfolgenden Einträge mit Werten
kompromittiert werden, welche weitgehend vom Gastbenutzer kontrolliert
werden. Wenn der falsch abgeglichene Wert Seitengrenzen überquert, wird
sogar eine beliebige andere Heap-Seite kompromittiert. Ein PV-Gastbenutzer,
als einfach authentisierter Angreifer im benachbarten Netzwerk, kann diese
Schwachstelle ausnutzen, um seine Privilegien auf die des Hosts zu
eskalieren. Von dieser Schwachstelle sind nur x86-Systeme betroffen
(XSA-227).


CVE-2017-12135: Schwachstelle in Xen ermöglicht u.a.
Denial-of-Service-Angriff

Im Programmcode für den Umgang mit Kopieroperationen auf transitiven
'Grants' ist eine Wiederholungslogik implementiert, in die eine Funktion
involviert ist, die sich selbst mit unveränderten Parametern erneut aufruft.
Dies ermöglicht es, unbegrenzt Funktionsaufrufe zu verschachteln (Tail
Call). Zudem führt ein Fehler in der korrekten Durchführung zum Zählen und
Sperren von Referenzen für transitive 'Grants' dazu, dass ein gleichzeitiger
Gebrauch eines transitiven 'Grant' die Referenzen weiterer transitiv
referenzierter 'Grants' offenlegt. Ein einfach authentisierter Angreifer im
benachbarten Netzwerk kann durch das Ausnutzen der Schwachstelle Xen
abstürzen lassen (Denial-of-Service) sowie Referenzen anderer 'Grants'
ausspähen und zusätzlich einen Denial-of-Service-Angriff gegen den Empfänger
des 'Grants' durchzuführen. Das Eskalieren von Privilegien und das Ausspähen
weiterer Informationen kann als Auswirkung der Schwachstelle nicht
ausgeschlossen werden (XSA-226).


CVE-2017-11434: Schwachstelle in Xen / QEMU ermöglicht
Denial-of-Service-Angriff

In der Funktion 'dhcp_decode' in 'slirp/bootp.c' in QEMU existiert eine
Schwachstelle, die es einem nicht authentisierten, lokalen Angreifer
ermöglicht über präparierte DHCP-Optionszeichenketten (Options Strings)
lesend auf Speicherbereiche außerhalb der zulässigen Speichergrenzen
zuzugreifen (Out-of-bounds Read) und darüber den QEMU-Prozess zum Absturz zu
bringen (Denial-of-Service).


CVE-2017-11334: Schwachstelle in Xen / QEMU ermöglicht
Denial-of-Service-Angriff

In QEMU, der für die Verwendung von 'qemu_map_ram_ptr' erstellt wurde,
existiert eine Schwachstelle, die es ermöglicht, während einer direkten
Speicherzugriffsoperation (Direct Memory Access, DMA) auf Speicher außerhalb
der zulässigen Grenzen zuzugreifen (Out-of-bounds Access) und so einen
Denial-of-Service (DoS)-Zustand herbeizuführen. Ein einfach authentisierter,
lokaler Angreifer kann einen Denial-of-Service-Angriff durchführen.


CVE-2017-10806: Schwachstelle in Xen / QEMU ermöglicht
Denial-of-Service-Angriff

Falls QEMU mit USB-Umleitungsunterstützung (USB Redirector Support) erstellt
wurde und 'Debug'-Nachrichtenprotokollierung im Gerät aktiviert ist, kann
ein Pufferüberlauf auf dem Stack ausgelöst werden, der den Absturz des
QEMU-Prozesses zur Folge hat. Der Benutzer eines Gastsystems kann als
einfach authentisierter Angreifer im benachbarten Netzwerk diese
Schwachstelle für einen Denial-of-Service (DoS)-Angriff ausnutzen.


CVE-2017-10664: Schwachstelle in Xen / QEMU ermöglicht
Denial-of-Service-Angriff

In QEMU, mit Unterstützung für den Network Block Device (NBD)-Server,
existiert eine Schwachstelle durch den Abbruch einer Verbindung durch den
Client aufgrund einer fehlerhaften Verhandlungskommunikation, wodurch ein
SIGPIPE-Signal ausgelöst werden kann.
Ein entfernter, nicht authentisierter Angreifer kann den QEMU-Prozess zum
Absturz bringen und so einen Denial-of-Service (Dos)-Zustand bewirken.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
<https://portal.cert.dfn.de/adv/DFN-CERT-2017-1627/>

Schwachstelle CVE-2017-10664 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10664>

Schwachstelle CVE-2017-10806 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10806>

Schwachstelle CVE-2017-11334 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-11334>

Schwachstelle CVE-2017-11434 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-11434>

Schwachstelle CVE-2017-12135 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-12135>

Schwachstelle CVE-2017-12137 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-12137>

Schwachstelle CVE-2017-12855 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-12855>

Schwachstelle CVE-2017-14316 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-14316>

Schwachstelle CVE-2017-14317 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-14317>

Schwachstelle CVE-2017-14319 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-14319>

SUSE Security Update SUSE-SU-2017:2450-1:
<http://lists.suse.com/pipermail/sle-security-updates/2017-September/003213.html>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Ausgabe 10/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.