Open Source im professionellen Einsatz

DFN-CERT-2017-1812 Xen: Mehrere Schwachstelle ermöglichen u.a. das Eskalieren von Privilegien [Linux][Fedora]

13.10.2017

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Xen 4.4.x
Xen 4.5.x
Xen 4.6.x
Xen 4.7.x
Xen 4.8.x
Xen 4.9.x


Betroffene Plattformen:

Red Hat Fedora 25
Red Hat Fedora 26
Red Hat Fedora 27
Xen



Mehrere Schwachstellen in Xen ermöglichen einem einfach authentisierten
Angreifer im benachbarten Netzwerk die Durchführung verschiedener
Denial-of-Service (DoS)-Angriffe, das Eskalieren von Privilegien sowie das
Ausspähen von Informationen.

Der Hersteller veröffentlicht die Xen Security Advisories XSA-237 - XSA-244,
um über die verschiedenen Schwachstellen in Xen für Systeme mit x86- und /
oder ARM-Architekturen zu informieren und stellt Patches zur Behebung der
einzelnen Schwachstellen zur Verfügung. Betroffen sind alle aktuellen
Versionszweige von Xen. Für ältere Versionszweige stehen keine Informationen
zur Verfügung.

Für Fedora 25, 26 und 27 stehen die Pakete 'xen-4.7.3-7.fc25',
'xen-4.8.2-4.fc26' und 'xen-4.9.0-12.fc27' als Sicherheitsupdates im Status
'pending' bereit. Die Sicherheitsupdates für Fedora 25 und 26 adressieren
zusätzlich die Schwachstellen CVE-2017-13672, CVE-2017-13673 und XSA-245,
mit denen ein einfach authentisierter Angreifer im benachbarten Netzwerk
weitere Denial-of-Service (DoS)-Angriffe durchführen bzw. Informationen
ausspähen kann.

Das Paket für Fedora 25 ersetzt gleichzeitig das mit der Meldung
FEDORA-2017-99bcbc7bef (Fedora 25, xen-4.7.3-6.fc25) und das Paket für
Fedora 26 das mit der Meldung FEDORA-2017-213ebf97c8 (Fedora 26,
xen-4.8.2-3) veröffentlichte Sicherheitsupdate, welche wir in einer
gesonderten Meldung verarbeitet hatten. Für Fedora 27 behält das
entsprechende Sicherheitsupdate FEDORA-2017-b4329d6ee5 (Fedora 27,
xen-4.9.0-11) dagegen den Status 'stable'.


Patch:

Xen Security Advisory XSA-245

<http://xenbits.xen.org/xsa/advisory-245.html>

Patch:

Fedora Security Update FEDORA-2017-5bcddc1984 (Fedora 26, xen-4.8.2-4)

<https://bodhi.fedoraproject.org/updates/FEDORA-2017-5bcddc1984>

Patch:

Fedora Security Update FEDORA-2017-c432db2971 (Fedora 27, xen-4.9.0-12)

<https://bodhi.fedoraproject.org/updates/FEDORA-2017-c432db2971>

Patch:

Fedora Security Update FEDORA-2017-d4709b0d8b (Fedora 25, xen-4.7.3-7)

<https://bodhi.fedoraproject.org/updates/FEDORA-2017-d4709b0d8b>

Patch:

Xen Security Advisory XSA-237

<https://xenbits.xen.org/xsa/advisory-237.html>

Patch:

Xen Security Advisory XSA-238

<https://xenbits.xen.org/xsa/advisory-238.html>

Patch:

Xen Security Advisory XSA-239

<https://xenbits.xen.org/xsa/advisory-239.html>

Patch:

Xen Security Advisory XSA-240

<https://xenbits.xen.org/xsa/advisory-240.html>

Patch:

Xen Security Advisory XSA-241

<https://xenbits.xen.org/xsa/advisory-241.html>

Patch:

Xen Security Advisory XSA-242

<https://xenbits.xen.org/xsa/advisory-242.html>

Patch:

Xen Security Advisory XSA-243

<https://xenbits.xen.org/xsa/advisory-243.html>

Patch:

Xen Security Advisory XSA-244

<https://xenbits.xen.org/xsa/advisory-244.html>


XSA-244: Schwachstelle in Xen ermöglicht Denial-of-Service-Angriff und
Privilegieneskalation

In allen aktuellen Versionen von Xen auf AMD-x86-Systemen existiert eine
Schwachstelle. Ebenfalls sind x86-Systeme verwundbar, die Shared Virtual
Memory (SVM) verwenden. Bei diesen Installationen sind die
AMD-Virtualisierungserweiterungen eher betroffen als die
Intel-Virtualisierungserweiterungen. Die Schwachstelle besteht aufgrund des
fehlerhaften Umgangs mit den IST-Einstellungen beim Hinzufügen einer CPU im
laufenden Betrieb (Hot Plug). Diese verursacht, dass fehlerhafte Werte in
die Interrupt Descriptor Table (IDT) der neuen CPU eingetragen werden. Ein
einfach authentisierter Angreifer im benachbarten Netzwerk kann dies
ausnutzen, um seine Privilegien zu erweitern oder den Hypervisor abstürzen
zu lassen (Denial-of-Service, DoS).


XSA-243: Schwachstelle in Xen ermöglicht Denial-of-Service-Angriff

Aufgrund des fehlerhaften Umgangs mit 'self-linear shadow'-Mappings bei
'translated'-Gastsystemen besteht eine Schwachstelle in allen Xen-Versionen.
Ein einfach authentisierter Angreifer im benachbarten Netzwerk kann durch
das Ausnutzen der Schwachstelle den Hypervisor zum Absturz bringen und einen
Denial-of-Service (DoS)-Zustand im Host bewirken oder dessen Speicher
korrumpieren. Das Eskalieren von Privilegien kann nicht ausgeschlossenen
werden.


XSA-242: Schwachstelle in Xen ermöglicht Denial-of-Service-Angriff

In allen aktuellen Versionen von Xen auf x86-Systemen existiert eine
Schwachstelle, weil beim Sperren (Locking) von Seiten im 'Page Type System'
nicht ausreichend überprüft wird, ob die gesetzte Referenz die letzte ist,
wodurch beim Entsperren der Seite diese ohne eine weitere Referenz
unbereinigt im System verbleibt. Ein einfach authentisierter Angreifer im
benachbarten Netzwerk kann beim Herunterfahren eines Gasts ein Speicherleck
verursachen und so einen Denial-of-Service (DoS)-Zustand im Host bewirken.


XSA-241: Schwachstelle in Xen ermöglicht Privilegieneskalation,
Denial-of-Service-Angriff und Ausspähen von Informationen

In allen aktuellen Versionen von Xen auf x86-Systemen existiert eine
Schwachstelle. Werden Translation Lookaside Buffer (TLB) durch eine
Benutzeranfrage bereinigt (flush) und ist ein Inter Processor Interrupt
(IPI)-Aufruf an die CPU durch den Prozess zum Löschen der letzten Referenz
einer Seite darin involviert und kommt dieser IPI-Aufruf genau an einer
bestimmten Befehlsgrenze, wird ein veralteter Zeitstempel aufgenommen. Dies
kann bewirken, dass die Bereinigung des TLB für diese Seite weggelassen
wird. Ein einfach authentisierter Angreifer im benachbarten Netzwerk kann
durch das Ausnutzen der Schwachstelle auf den gesamten Systemspeicher
zugreifen und Privilegien eskalieren, Informationen ausspähen und eine
Denial-of-Service (DoS)-Angriff durchführen.


XSA-240: Schwachstelle in Xen ermöglicht Denial-of-Service-Angriff

Eine fehlende Beschränkung beim Erstellen von linearen Seitentabellen
(linear page tables) in Xen für x86-Systeme ermöglicht es einem Gastbenutzer
mit einer hohen Anzahl an Querverweisen eine endlose Rekursion zu
provozieren, in deren Folge der Stack-basierte Pufferspeicher zum Überlauf
gebracht und ein Denial-of-Service (DoS)-Zustand herbeigeführt werden kann.
Ein einfach authentisierter Angreifer im benachbarten Netzwerk kann den
Hypervisor zum Absturz bringen (Denial-of-Service). Das Ausspähen von
Informationen und Eskalieren von Privilegien kann nicht ausgeschlossen
werden.


XSA-239: Schwachstelle in Xen ermöglicht Ausspähen von Informationen

Im 'I/O-Intercept'-Programmcode in Xen für x86-Systeme besteht eine
Schwachstelle, wodurch ein Speicherleck im Stack-basierten Pufferspeicher
hervorgerufen werden kann, weil ein Schreibpfad einzelne Bits eines nicht
initialisierten Speicherbereichs des Stack beinhaltet. Wird ein Lesezugriff
auf diesen Pfad durchgeführt, können sensitive Informationen aus dem
Speicher ausgespäht werden. Ein einfach authentisierter Angreifer im
benachbarten Netzwerk kann Informationen ausspähen.


XSA-238: Schwachstelle in Xen ermöglicht Denial-of-Service-Angriff

Aufgrund einer fehlenden Überprüfung von Argumenten in 'DMOP map' und 'DMOP
unmap' (Device Model Operation Hypercall) besteht eine Schwachstelle in Xen
für x86-Systeme, die es einem Gastbenutzer ermöglicht präparierte Argumente
zu verwenden, die einen Denial-of-Service (DoS)-Zustand bewirken können, der
sich auf andere Gastbenutzer auswirken und den gesamten Host beeinflussen
kann. Ein einfach authentisierter Angreifer im benachbarten Netzwerk kann
einen Denial-of-Service-Angriff durchführen.


XSA-237: Schwachstelle in Xen ermöglicht u.a. Denial-of-Service-Angriff

In Xen für x86-Systeme bestehen mehrere Schwachstellen in der Konfiguration
der 'PCI MSI'-Interrupts. Diese ermöglichen es einem bösartigen Gastbenutzer
sich Zugriff auf Geräte zu verschaffen, für die er keine Rechte besitzt und
die Funktionen 'MSI' oder 'MSI-X' darauf zu deaktivieren. Außerdem kann
dieser einen Code-Pfad auslösen, der für PV-Benutzer vorenthalten ist.
Einige Fehlerpfade können konfigurierte Interrupts zerstören und einen
inkonsistenten Zustand hinterlassen. Ein einfach authentisierter Angreifer
im benachbarten Netzwerk kann einen Denial-of-Service (DoS)-Angriff
durchführen und darüber hinaus Informationen ausspähen und Privilegien
eskalieren.


CVE-2017-13673: Schwachstelle in QEMU ermöglicht Denial-of-Service-Angriff

Falls QEMU mit Unterstützung für VGA-Display-Emulator erstellt wurde,
besteht eine Schwachstelle, durch die es einem einfach authentisierten
Angreifer im benachbarten Netzwerk möglich ist, in der Funktion
'cpu_physical_memory_snapshot_get_dirty' eine Ausnahmebehandlung (Assertion)
bei der Berechnung von Regionen für 'Dirty-Bitmap'-Schnappschüsse im
geteilten Bildschirmmodus (Split-Screen) auszulösen und so einen
Denial-of-Service (DoS)-Zustand herbeizuführen.


CVE-2017-13672: Schwachstelle in QEMU ermöglicht Denial-of-Service-Angriff

Falls QEMU mit Unterstützung für VGA-Display-Emulator erstellt wurde,
besteht eine Schwachstelle, durch die es einem einfach authentisierten
Angreifer im benachbarten Netzwerk möglich ist, über Display-Updates
Lesezugriffe auf Speicherbereiche außerhalb der gültigen Speichergrenzen
(Out-of-Bounds Read) zu provozieren und in der Folge einen Denial-of-Service
(DoS)-Zustand herbeizuführen.


XSA-245: Schwachstelle in Xen ermöglicht Ausspähen von Informationen

Eine Schwachstelle in Xen ab Version 4.5 basiert auf einer fehlerhaften
Löschung des DRAMs durch Beschreiben mit Null-Werten während des
Startvorgangs des Systems ('Bootens') aufgrund eines arithmetischen Fehlers,
so dass sensitive Daten einer Domain vor dem Neustart ('Reboot') für eine
andere Domain nach dem Neustart sichtbar sind. Von dieser Schwachstelle sind
nur Systeme mit ARM-Prozessoren betroffen, bei denen die Speicherbereiche
nicht zusammenhängend sind oder die physikalische Adresse des ersten
Speicherbereichs nicht bei Null beginnt. Ein nicht authentisierter Angreifer
im benachbarten Netzwerk kann Informationen ausspähen.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
<https://portal.cert.dfn.de/adv/DFN-CERT-2017-1812/>

Schwachstelle CVE-2017-13672 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-13672>

Schwachstelle CVE-2017-13673 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-13673>

Xen Security Advisory XSA-245:
<http://xenbits.xen.org/xsa/advisory-245.html>

Fedora Security Update FEDORA-2017-5bcddc1984 (Fedora 26, xen-4.8.2-4):
<https://bodhi.fedoraproject.org/updates/FEDORA-2017-5bcddc1984>

Fedora Security Update FEDORA-2017-c432db2971 (Fedora 27, xen-4.9.0-12):
<https://bodhi.fedoraproject.org/updates/FEDORA-2017-c432db2971>

Fedora Security Update FEDORA-2017-d4709b0d8b (Fedora 25, xen-4.7.3-7):
<https://bodhi.fedoraproject.org/updates/FEDORA-2017-d4709b0d8b>

Xen Security Advisory XSA-237:
<https://xenbits.xen.org/xsa/advisory-237.html>

Xen Security Advisory XSA-238:
<https://xenbits.xen.org/xsa/advisory-238.html>

Xen Security Advisory XSA-239:
<https://xenbits.xen.org/xsa/advisory-239.html>

Xen Security Advisory XSA-240:
<https://xenbits.xen.org/xsa/advisory-240.html>

Xen Security Advisory XSA-241:
<https://xenbits.xen.org/xsa/advisory-241.html>

Xen Security Advisory XSA-242:
<https://xenbits.xen.org/xsa/advisory-242.html>

Xen Security Advisory XSA-243:
<https://xenbits.xen.org/xsa/advisory-243.html>

Xen Security Advisory XSA-244:
<https://xenbits.xen.org/xsa/advisory-244.html>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Ausgabe 11/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.