UPDATE: DFN-CERT-2014-1282 Xen: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Fedora][Solaris]

UPDATE: DFN-CERT-2014-1282 Xen: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Fedora][Solaris]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (06.10.2014):
Für Fedora 21 steht ein Sicherheitsupdate bereit.
Version 1 (01.10.2014):
Neues Advisory

Betroffene Software:

Xen >= 4.1.0

Betroffene Plattformen:

Red Hat Fedora 21
Xen

Eine Schwachstelle in Xen 4.1 und neueren Versionen ermöglicht einem im
benachbarten Netzwerk befindlichen, nicht authentifizierten Angreifer das
Ausspähen von Daten und die Durchführung von Denial-of-Service-Angriffen.

Patch:

Xen Hersteller-Advisory CVE-2014-7188

http://xenbits.xen.org/xsa/advisory-108.html

Patch:

Fedora Security Update FEDORA-2014-12002

https://admin.fedoraproject.org/updates/FEDORA-2014-12002/xen-4.4.1-6.fc21

CVE-2014-7188: Schwachstelle in Xen ermöglicht das Ausspähen von Daten

Der Hypervisor Code für die Emulation von Lese- und Schreibzugriffen deckt
den Bereich für die Model Specific Register (MSR) für die Benutzung des
Advanced Programmable Interrupt Controller (APIC) im x2APIC Zugriffsmodell
fälschlicherweise mit 1024 MSRs anstatt 256 ab. Infolgedessen kann es dazu
kommen, dass auf Speicher außerhalb der intendierten Speicherseite der APIC
Emulation zugegriffen werden kann. Ein nicht authentifizierter Angreifer
eines Gastsystems kann diese Schwachstelle ausnutzen, um das Host-System zum
Absturz zu bringen oder Informationen von anderen Gastsystemen oder dem
Hypervisor selber auszuspähen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1282/

Xen Hersteller-Advisory CVE-2014-7188:
http://xenbits.xen.org/xsa/advisory-108.html

Schwachstelle CVE-2014-7188 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7188

EGI CSIRT Security Advisory XSA-108-2014-10-01:
https://wiki.egi.eu/wiki/EGI_CSIRT:Alerts/XSA-108-2014-10-01

Fedora Security Update FEDORA-2014-12002:
https://admin.fedoraproject.org/updates/FEDORA-2014-12002/xen-4.4.1-6.fc21

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben