DFN-CERT-2014-0232 Red Hat Fedora, Xen: Schwachstellen ermöglichen Ausführung beliebiger Befehle [Linux][Fedora][Solaris]

DFN-CERT-2014-0232 Red Hat Fedora, Xen: Schwachstellen ermöglichen Ausführung beliebiger Befehle [Linux][Fedora][Solaris]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Xen <= 4.3.1 Betroffene Plattformen: Red Hat Fedora 19 Red Hat Fedora 20 Xen Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebige Befehle zur Ausführung zu bringen. Patch: Fedora Update FEDORA-2014-2862 https://admin.fedoraproject.org/updates/FEDORA-2014-2862/xen-4.2.4-2.fc19

Patch:

Fedora Update FEDORA-2014-2802

https://admin.fedoraproject.org/updates/FEDORA-2014-2802/xen-4.3.2-1.fc20

CVE-2013-2212: Xen: Schwachstelle ermöglicht Denial-of-Service

In Xen werden in der Funktion vmx_set_uc_mode() bei deaktiviertem Cache
GFN-Bereiche fehlerhaft verarbeitet. Dies ermöglicht einem lokalen Angreifer
mit dem Status eines lokalen HVM-Gast-Benutzers mit Zugriff auf bestimmte
Speicherbereiche, seinen physischen Adressraum zu manipulieren und somit
einen Kernel-Panic-Zustand im Hypervisor- oder Gast-Kernel herbeizuführen.

CVE-2014-1950: Xen: Use-After-Free Schwachstelle ermöglicht Ausführung
beliebiger Befehle

Falls in Xen die Funktion xc_cpumap_alloc() fehlschlägt, gibt die Funktion
xc_cpupool_getinfo() einen Zeiger auf einen bereits freigegebenen
Speicherbereich zurück. Einem Angreifer aus dem benachbarten Netzwerk ist es
somit möglich den Heap-Speicher zu korrumpieren und einen
Denial-of-Service-Zustand herbeizuführen oder beliebige Befehle mit den
Rechten des Kernels zur Ausführung zu bringen. Ausschließlich
mehrprozessgestützte (multihreaded) Toolstacks sind von der Ausnutzung
betroffen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0232/

Schwachstelle CVE-2014-1950 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1950

Schwachstelle CVE-2013-2212 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-2212

Fedora Update FEDORA-2014-2862:
https://admin.fedoraproject.org/updates/FEDORA-2014-2862/xen-4.2.4-2.fc19

Fedora Update FEDORA-2014-2802:
https://admin.fedoraproject.org/updates/FEDORA-2014-2802/xen-4.3.2-1.fc20

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben