Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 3 (07.07.2017):
Für SUSE OpenStack Cloud 6 und die SUSE Linux Enterprise Server
Produktvarianten for SAP 12 SP1 sowie 12 SP1 LTSS stehen
Sicherheitsupdates für Xen bereit, die zusätzlich die Schwachstelle
CVE-2017-10916 beheben.
Version 2 (06.07.2017):
Für SUSE Linux Enterprise Server for SAP 12 und SUSE Linux Enterprise
Server 12 LTSS stehen nun ebenfalls Sicherheitsupdates für ‘xen’ zur
Behebung dieser Schwachstellen bereit. Zwischenzeitlich wurden zahlreichen
Xen Security Advisories (XSA) ein oder mehrere Schwachstellenidentifizier
zugewiesen.
Version 1 (05.07.2017):
Neues Advisory
Betroffene Software:
Xen
Betroffene Plattformen:
SUSE Linux Enterprise Debuginfo 11 SP4
SUSE Linux Enterprise Software Development Kit 11 SP4
SUSE OpenStack Cloud 6
SUSE Linux Enterprise Server 11 SP4
SUSE Linux Enterprise Server 12 LTSS
SUSE Linux Enterprise Server for SAP 12
SUSE Linux Enterprise Server 12 SP1 LTSS
SUSE Linux Enterprise Server for SAP 12 SP1
Mehrere Schwachstellen in Xen ermöglichen einem einfach authentisierten
Angreifer im benachbarten Netzwerk die Eskalation von Privilegien,
verschiedene Denial-of-Service (DoS)-Angriffe und das Ausspähen von
Informationen.
Für SUSE Linux Enterprise Software Development Kit 11 SP4, SUSE Linux
Enterprise Server 11 SP4 und SUSE Linux Enterprise Debuginfo 11 SP4 stehen
Sicherheitsupdates für ‘xen’ zur Verfügung.
Patch:
SUSE Security Update SUSE-SU-2017:1770-1
http://lists.suse.com/pipermail/sle-security-updates/2017-July/003003.html
Patch:
SUSE Security Update SUSE-SU-2017:1795-1
http://lists.suse.com/pipermail/sle-security-updates/2017-July/003015.html
Patch:
SUSE Security Update SUSE-SU-2017:1812-1
http://lists.suse.com/pipermail/sle-security-updates/2017-July/003016.html
CVE-2017-10916: Schwachstelle in Xen ermöglicht Ausspähen von Informationen
In Xen 4.4 und früher auf x86-Systemen existiert eine Schwachstelle. Die
Funktionalitäten Memory Protection Extensions (MPX) und Protection Key (PKU)
stehen für Prozessoren neuerer Bauart zur Verfügung, deren ‘State’ als ‘pro
Thread’ festgelegt wird und der sich mit allen anderen XSAVE-States
kontextabhängig ändert. Die Verwendung dieser Funktionalitäten ist aber
vollkommen (PKU) oder möglicherweise (MPX) von den XSTATE-Bits unabhängig.
Dadurch werden States in Virtual Machines zwischen verschiedenen vCPUs
offengelegt, falls diese manuell statt über XSTATE gewechselt werden. Ein
lokaler, einfach authentisierter Angreifer kann aus diesen
Kontrollinformationen Informationen über Zeiger in den Gast-Adressraum
ausspähen. Dadurch wird die Address Space Randomisation (ASR) abgeschwächt
und weitere Angriffe werden vereinfacht (XSA-220).
CVE-2017-10922: Schwachstelle in Xen ermöglicht Denial-of-Service-Angriff
In allen unterstützten Xen Versionen auf x86-Systemen existieren eine Reihe
von Schwachstellen im Kontext von Code Mapping und Unmapping Grant
Referenzen. Das ‘grant-table’-Feature in Xen bis Version 4.8.x behandelt
MMIO Region Grant References fehlerhaft, so dass Grants nicht mehr
nachverfolgt werden können. Ein PV Gastbenutzer kann das ausnutzen, um einen
Denial-of-Service (DoS)-Zustand herbeizuführen (XSA-224 Bug 3).
CVE-2017-10921: Schwachstelle in Xen ermöglicht Privilegieneskalation
In allen unterstützten Xen Versionen auf x86-Systemen existieren eine Reihe
von Schwachstellen im Kontext von Code Mapping und Unmapping Grant
Referenzen. Unter bestimmten Umständen, wenn das Mapping mit
‘GNTMAP_device_map’ und ‘GNTMAP_host_map’ Flags stattfindet, wird der
Typenzähler bei diesem Vorgang nicht hinreichend erhöht. Beim Unmapping wird
der Typenzähler anschließend fehlerhaft erniedrigt. Auch in diesem Fall
bleibt ein beschreibbares Mapping auf die jeweilige Seite übrig. Ein PV
Gastbenutzer kann das ausnutzen, um ein beschreibbares Mapping seiner
eigenen Pagetable zu erlangen. Ein einfach authentisierter Angreifer im
benachbarten Netzwerk kann so einen Denial-of-Service (DoS)-Zustand
herbeiführen oder im schlimmsten Fall seine Privilegien auf die des
Host-Systems eskalieren (XSA-224 Bug 2).
CVE-2017-10920: Schwachstelle in Xen ermöglicht Privilegieneskalation
In allen unterstützten Xen Versionen auf x86-Systemen existieren eine Reihe
von Schwachstellen im Kontext von Code Mapping und Unmapping Grant
Referenzen. Wenn das Mapping beispielsweise mit ‘GNTMAP_device_map’ und
‘GNTMAP_host_map’ Flags stattfindet, aber das Unmapping lediglich mit
‘host_map’, bleibt der ‘device_map’-Anteil erhalten, obwohl der Zähler der
Seitenreferenz erniedrigt wird, als wäre er entfernt worden. Es bleibt ein
beschreibbares Mapping auf die jeweilige Seite übrig. Ein PV Gastbenutzer
kann das ausnutzen, um ein beschreibbares Mapping seiner eigenen Pagetable
zu erlangen. Ein einfach authentisierter Angreifer im benachbarten Netzwerk
kann so einen Denial-of-Service (DoS)-Zustand herbeiführen oder im
schlimmsten Fall seine Privilegien auf die des Host-Systems eskalieren
(XSA-224 Bug 1).
CVE-2017-10918: Schwachstelle in Xen ermöglicht Privilegieneskalation,
Denial-of-Service-Angriff und Ausspähen von Informationen
In Xen Versionen mindestens von Version 3.2 aufwärts auf x86- und
ARM-Systemen existiert eine Schwachstelle bei der Entfernung großer Seiten
(Pages) vom P2M (Physical-to-Machine) Mapping eines Gastes. Hierbei findet
eine Allokation von Speicher statt, um das große Mapping durch ein
individuelles kleineres Mapping zu ersetzen. Wenn diese Allokation etwa
fehlschlägt, werden die Fehler durch Aufrufer ignoriert, wodurch diese
fortsetzen und beispielsweise die referenzierte Seite zur neuen Verwendung
freigeben können. Der Gast behält dadurch ein Mapping auf eine Speicherseite
(Page), auf welche er keinen Zugriff haben sollte. Ein einfach
authentisierter Angreifer im benachbarten Netzwerk kann dies ausnutzen, um
seine Privilegien zu eskalieren, den Host zum Absturz zu bringen
(Denial-of-Service) oder um Informationen auszuspähen. Auf x86-Systemen kann
diese Schwachstelle nur von HVM-Gastbenutzern ausgenutzt werden (XSA-222).
CVE-2017-10917: Schwachstelle in Xen ermöglicht Denial-of-Service-Angriff
und Ausspähen von Informationen
In Xen Versionen 4.4 und aufwärts auf x86- und ARM-Systemen existiert eine
Schwachstelle aufgrund fehlender Prüfungen, ob bestimmte im Rahmen einer
Weiterentwicklung zwischengeschaltete Zeiger nicht den Wert NULL haben. Beim
Abfragen (Polling) von Event Channels können normalerweise beliebige
Port-Nummern spezifiziert werden. Insbesondere besteht nicht die
Anforderung, dass abgefragte Event Channel Ports jemals erzeugt worden sind.
Ein schädlicher oder fehlerhafter Gast kann dadurch bewirken, dass der
Hypervisor auf Adressen zugreift, die er nicht kontrolliert, wodurch es
gewöhnlich zu einem Absturz des Hosts kommt. Ein Informationsleck kann nicht
ausgeschlossen werden. Ein einfach authentisierter Angreifer im benachbarten
Netzwerk kann diese Schwachstelle ausnutzen, um einen Denial-of-Service
(DoS)-Angriff durchzuführen oder, allerdings nur als x86 PV-Gastbenutzer, um
möglicherweise Informationen auszuspähen (XSA-221).
CVE-2017-10915: Schwachstelle in Xen ermöglicht Privilegieneskalation
In allen aktuellen Versionen von Xen auf x86-Systemen existiert zwischen
Ausblenden und Schreibvorgang auf ‘Pagetables’ von Gastsystemen ein kurzes
Zeitfenster, in dem ein emulierter Schreibvorgang komplett unter Kontrolle
eines (zweiten) Gastsystems ist. Benutzer zweier Gastsysteme können dadurch
in Kombination ihre Privilegien auf die des Xen-Prozesses erweitern.
Möglicherweise ist die Privilegieneskalation auch durch ein einzelnes
HVM-Gastsystem durchführbar (XSA-219).
CVE-2017-10914: Schwachstelle in Xen ermöglicht u.a.
Denial-of-Service-Angriff
Im Programmcode zum Ausblenden von ‘Grant’-Referenzen in allen Versionen von
Xen auf x86- und ARM-Systemen existiert eine Schwachstelle. In diesem
zweiten untersuchten Fall wird der ‘Maptrack Entry’ eines ‘Grants’
möglicherweise doppelt freigegeben. Die Auswirkungen sind hier nicht
vollständig klar. Neben einem Denial-of-Service (DoS)-Angriff auf das
Gastsystem sind auch das Ausspähen von Informationen oder die Eskalation von
Privilegien denkbar. Auf x86-Architekturen sind nur Systeme mit entweder PV-
oder HVM-Gastbenutzern verwundbar (XSA-218 Bug 2).
CVE-2017-10913: Schwachstelle in Xen ermöglicht Privilegieneskalation oder
Ausspähen von Informationen
Im Programmcode zum Ausblenden von ‘Grant’-Referenzen in allen Versionen von
Xen auf x86- und ARM-Systemen existiert eine Schwachstelle. Falls ein
‘Grant’ doppelt von einer Backend-Domäne eingeblendet wurde und diese zwei
gleichzeitige Aufrufe zum Ausblenden des ‘Grants’ erhält, wird diese
Information zu früh an das Frontend weitergegeben. Dadurch erhält ein
einfach authentisierter Angreifer im benachbarten Netzwerk ein kleines
Zeitfenster, in dem er auf Frontend-Speicher zugreifen kann. Dadurch können
Informationen ausgespäht oder die Privilegien vom Backend auf das Frontend
erweitert werden. Auf x86-Architekturen sind nur Systeme mit entweder PV-
oder HVM-Gastbenutzern verwundbar (XSA-218 Bug 1).
CVE-2017-10912: Schwachstelle in Xen ermöglicht Privilegieneskalation,
Denial-of-Service-Angriff und Ausspähen von Informationen
In allen aktuellen Versionen von Xen auf x86-Systemen existiert eine
Schwachstelle. Domänen, welche die Kontrolle über andere Domänen haben, sind
dazu in der Lage, Speicherseiten der kontrollierten Domäne selbst
einzublenden. Beim Ausblenden solch einer Speicherseite kann es zu einem
kritischen Wettlauf kommen, falls der Translation Lookaside Buffer (TLB)
nicht sofort bereinigt wird. Benutzer zweier Gastsysteme können zusammen als
einfach authentisierte Angreifer im benachbarten Netzwerk auf den gesamten
Systemspeicher eines dritten Gastsystems zugreifen, indem sie eine
Speicherseite an dieses System transferieren. Dadurch können sie
Informationen ausspähen, ihre Privilegien eskalieren oder das Hostsystem zum
Absturz bringen. Es sind alle Versionen von Xen verwundbar, bei denen sowohl
HVM- als auch PV-Gastsysteme eingesetzt werden (XSA-217).
CVE-2017-10911: Schwachstelle in Xen / QEMU ermöglicht Ausspähen von
Informationen
Die Response-Struktur von Block Interfaces hat mehrere nicht
zusammenhängende Felder. Einige Backends verwenden diese Felder in sonst
nicht initialisierten Instanzen dieser Struktur in ihren Stacks, wodurch
sensitive Daten offengelegt werden können. Ein einfach authentisierter
Angreifer im benachbarten Netzwerk kann ohne besondere Privilegien
Informationen aus dem Host- oder anderen Gastsystemen ausspähen. Die
Schwachstelle betrifft alle Linux-Versionen, die ‘xen-blkback’, ‘blkback’
oder ‘blktap’-Treiber unterstützen und alle Versionen von QEMU, die das ‘Xen
Block Backend’ unterstützen (XSA-216).
CVE-2017-9503: Schwachstelle in QEMU ermöglicht Denial-of-Service-Angriff
Falls QEMU mit Unterstützung für die Emulationsunterstützung des MegaRAID
SAS 8708EM2 Host Bus Adapters erstellt wurde, besteht die Möglichkeit, bei
der Verarbeitung von megasas-Befehlen eine Null-Zeiger-Dereferenzierung zu
erzeugen und damit den Absturz des QEMU-Prozesses zu bewirken. Der Benutzer
eines Gastsystems kann als einfach authentisierter Angreifer im benachbarten
Netzwerk diese Schwachstelle für einen Denial-of-Service (DoS)-Angriff
ausnutzen.
CVE-2017-9374: Schwachstelle in QEMU ermöglicht Denial-of-Service-Angriff
Falls QEMU mit Unterstützung für USB EHCI-Emulator erstellt wurde, besteht
über das wiederholte Entfernen eines Gerätes die Möglichkeit, ein
Speicherleck zu erzeugen, wodurch der Systemspeicher aufgebracht wird. Der
Benutzer eines Gastsystems kann als einfach authentisierter Angreifer im
benachbarten Netzwerk diese Schwachstelle für einen Denial-of-Service
(DoS)-Angriff ausnutzen.
CVE-2017-8112: Schwachstelle in QEMU ermöglicht Denial-of-Service-Angriff
Falls QEMU mit Unterstützung für VMWARE PVSCSI paravirtuelle
SCSI-Bus-Emulationsunterstützung erstellt wurde, besteht bei der
Initialisierung des SCSI-Nachrichtenringspeichers die Möglichkeit, eine
Endlosschleife und erhöhte Prozessorlast zu erzeugen. Der Benutzer eines
Gastsystems kann als einfach authentisierter Angreifer im benachbarten
Netzwerk diese Schwachstelle für einen Denial-of-Service (DoS)-Angriff
ausnutzen.
CVE-2017-9330: Schwachstelle in QEMU ermöglicht Denial-of-Service-Angriff
Falls QEMU mit Unterstützung für USB OHCI-Emulator erstellt wurde, besteht
die Möglichkeit, einen falschen Rückgabewert (Return Value) auszunutzen, um
eine Endlosschleife auszulösen. Der Benutzer eines Gastsystems kann als
einfach authentisierter Angreifer im benachbarten Netzwerk diese
Schwachstelle für einen Denial-of-Service (DoS)-Angriff ausnutzen.
CVE-2017-8905: Schwachstelle in Xen ermöglicht Privilegieneskalation
In Xen vor Version 4.7 existiert eine Schwachstelle, wenn Xen nicht über
gewöhnliche Ausnahmebehandlungseinstiegspunkte in den Gast-Modus
zurückkehrt, sondern über den sogenannten ‘Failsafe Callback’, welcher vier
zusätzliche Argumente auf dem Stack platziert. Bevor die Datenframes einer
Ausnahmebehandlung oder eines ‘Failsafe Callback’ auf den Gast-Kernel-Stack
platziert werden, prüft Xen den linearen Adressbereich, um nicht mit dem
Speicher des Hypervisors zu überlappen. Dabei werden die vier zusätzlichen
Argumente des ‘Failsafe Callback’ nicht berücksichtigt. Ein einfach
authentisierter Angreifer kann diese Schwachstelle ausnutzen und seine
Privilegien bis hin zu ‘Root’-Berechtigungen eskalieren, den Host zum
Absturz bringen (Denial-of-Service) oder Informationen ausspähen.
CVE-2017-8309: Schwachstelle in QEMU ermöglicht Denial-of-Service-Angriff
Falls QEMU mit Unterstützung für das Audio-Subsystem erstellt wurde, besteht
die Möglichkeit, bei der Durchführung von Audioaufnahmen ein Speicherleck zu
erzeugen, über welches der Systemspeicher aufgebracht werden kann. Der
Benutzer eines Gastsystems kann als einfach authentisierter Angreifer im
benachbarten Netzwerk diese Schwachstelle für einen Denial-of-Service
(DoS)-Angriff ausnutzen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1155/
Schwachstelle CVE-2017-8112 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8112
Schwachstelle CVE-2017-8309 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8309
Schwachstelle CVE-2017-8905 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8905
Schwachstelle CVE-2017-9330 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9330
Schwachstelle CVE-2017-9374 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9374
Schwachstelle CVE-2017-9503 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9503
SUSE Security Update SUSE-SU-2017:1770-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-July/003003.html
Schwachstelle CVE-2017-10911 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10911
Schwachstelle CVE-2017-10912 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10912
Schwachstelle CVE-2017-10913 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10913
Schwachstelle CVE-2017-10914 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10914
Schwachstelle CVE-2017-10915 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10915
Schwachstelle CVE-2017-10916 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10916
Schwachstelle CVE-2017-10917 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10917
Schwachstelle CVE-2017-10918 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10918
Schwachstelle CVE-2017-10920 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10920
Schwachstelle CVE-2017-10921 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10921
Schwachstelle CVE-2017-10922 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10922
SUSE Security Update SUSE-SU-2017:1795-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-July/003015.html
SUSE Security Update SUSE-SU-2017:1812-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-July/003016.html
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
