DFN-CERT-2014-1506 Xen: Zwei Schwachstellen ermöglichen einen Denial-of-Service-Angriff [Linux][Solaris]

DFN-CERT-2014-1506 Xen: Zwei Schwachstellen ermöglichen einen Denial-of-Service-Angriff [Linux][Solaris]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Xen >= 3.2.1
Xen <= 4.0.0 Betroffene Plattformen: Xen Zwei Schwachstellen in Xen ab Version 3.2.1 ermöglichen einem lokalen, nicht authentifizierten Angreifer seine Privilegien zu erweitern oder einen Denial-of-Service-Angriff durchzuführen. Patch: Xen Security Advisory XSA-109 http://xenbits.xen.org/xsa/advisory-109.html

Patch:

Xen Security Advisory XSA-110

http://xenbits.xen.org/xsa/advisory-110.html

CVE-2014-8595: Schwachstelle in der Emulation ‘far branch’ Instruktionen
ermöglicht Privilegieneskalation

Eine Schwachstelle in der Emulation von ‘far branch’ Instruktionen wie z.B.
CALL, JMP und RETE führt dazu, dass Brechtigungsprüfungen nicht vollständig
durchgeführt werden. Ein lokaler, nicht authentifizierter Angreifer kann
durch das Ausnutzen der Schwachstelle Supervisor Rechte erlangen oder einen
Denial-of-Service-Angriff durchführen.

CVE-2014-8594: Schwachstelle in MMU Update Operationen ermöglicht einen
Denial-of-Service-Angriff

Eine Schwachstelle in Xen führt dazu, dass MMU-Update-Operationen die nur
für PV Gäste vorgesehenen Seiten-Tabellen nicht immer korrekt verwenden.
Benutzt ein Gast durch Hardware zugeordnete Seiten, können durch fehlende
Prüfungen Zeiger auf Funktionen verwendet werden, die nur bei PV Gästen
initialisiert sind und ansonsten NULL-Pointer darstellen. Ein lokaler, nicht
authentifizierter Angreifer kann einen Denial-of-Service-Angriff
durchführen. Die Schwachstelle betrifft nur x86 Systeme.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1506/

Xen Security Advisory XSA-109:
http://xenbits.xen.org/xsa/advisory-109.html

Xen Security Advisory XSA-110:
http://xenbits.xen.org/xsa/advisory-110.html

Schwachstelle CVE-2014-8594 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8594

Schwachstelle CVE-2014-8595 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8595

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben