DFN-CERT-2015-1906 Xen: Mehrere Schwachstellen ermöglichen Denial-of-Service-Angriffe und das Ausspähen von Informationen [Linux][Debian]

DFN-CERT-2015-1906 Xen: Mehrere Schwachstellen ermöglichen Denial-of-Service-Angriffe und das Ausspähen von Informationen [Linux][Debian]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Xen

Betroffene Plattformen:

Debian Linux 8.2 Jessie

Mehrere Schwachstellen in Xen können auch von einem nicht authentifizierten,
im benachbarten Netzwerk befindlichen Gast zur Durchführung eines
Denial-of-Service-Angriffs oder dem Ausspähen von Informationen ausgenutzt
werden.

Debian stellt für die stabile Distribution Jessie ein Sicherheitsupdate
bereit. Die Schwachstellen sind auch für die alte stabile Distribution
Wheezy relevant, dafür wird Debian nach eigenen Angaben zu einem späteren
Zeitpunkt ein Update zur Verfügung stellen.

Aufgrund der referenzierten Schwachstellen wäre auch eine
Privilegieneskalation und die Manipulation von Dateien möglich, Debian
schränkt die möglichen Auswirkungen allerdings auf Denial-of-Service und das
Ausspähen von Informationen ein.

Patch:

Debian Security Advisory DSA-3414-1

https://www.debian.org/security/2015/dsa-3414

CVE-2015-8104: Denial-of-Service-Schwachstelle in Xen Hypervisor und
Microsoft Hyper-V

Die KVM Hypervisor Implementierung und Microsoft Hyper-V fangen
Debugging-Fehler nicht korrekt ab. Wenn ein Gastsystem einen Abbruchpunkt
für eine Datenstruktur aufsetzt, woraus ggf. ein Debugging-Fehler
resultieren soll, so wird nach Auftreten des ersten Fehlers das Werfen eines
weiteren Fehlers erforderlich, wodurch es zu einer Endlosschleife in dem
betreffenden Microcode kommt und in der Folge die CPU voll ausgelastet wird.
Ein einfach authentisierter Benutzer eines virtuellen Gastsystems, als
Angreifer, kann die Schwachstelle ausnutzen, um einen
Denial-of-Service-Zustand auf dem Host zu bewirken. x86 CPUs aller
Hersteller auf HVM Gastsystemen sind betroffen.

CVE-2015-5307: Denial-of-Service-Schwachstelle im Linux-Kernel und Microsoft
Hyper-V

Die KVM Hypervisor Implementierung im Linux-Kernel und Microsoft Hyper-V
fangen Alignment Check (‘Anordnungsprüfung’) Fehler nicht korrekt ab. Wenn
ein 32-bit Gastsystem den IDT-Eintrag korrespondierend zu einem solchen
Fehler setzt, um auf einen sogenannten ‘ring-3 handler’ zu referenzieren,
und wenn durch diesen die Fehlerbehandlung angestoßen wird, während der
Stack Pointer noch nicht justiert ist, führt dies zu einem erneuten
Alignment Check, wodurch es zu einer Endlosschleife kommt. Ein einfach
authentisierter Benutzer eines virtuellen Gastsystems, als Angreifer, kann
die Schwachstelle ausnutzen, um einen Denial-of-Service-Zustand auf dem Host
zu bewirken.

CVE-2015-7972: Schwachstelle in Xen ermöglicht Denial-of-Service-Angriff

Das Design von Memory Populate-on-Demand (PoD) Systemen erfordert, dass bei
der Speicherfreigabe durch den Memory Ballooning Driver eines Gastes das
jeweilige Ziel der Speicherreduktion korrekt erreicht wird. Anderenfalls
ergibt sich ein undefinierter Zustand der Speicherbelegung, was umso
leichter erreicht werden kann, wenn der Hypervisor eine größere Last zu
bewältigen hat. Ein lokaler, einfach authentifizierter Gastbenutzer, als
Angreifer, kann diese Schwachstelle ausnutzen, etwa durch das Hinzufügen von
Last an den Hypervisor, um diesen zum Absturz zu bringen und somit einen
Denial-of-Service-Angriff durchführen. Die Schwachstelle beschränkt sich auf
HVM Gastsysteme, die den Populate-on-Demand Modus verwenden. Alle Xen
Versionen bis zurück zu 3.4.x sind von dieser Schwachstelle betroffen.

CVE-2015-7971: Schwachstelle in Xen ermöglicht Denial-of-Service-Angriff

Die Hypercalls HYPERCALL_xenoprof_op und HYPERVISOR_xenpmu_op von Xen
erzeugen Log-Nachrichten für einige Fehler und Versuche ungültiger
Operationen auf der Hypervisor-Konsole. Hierfür existiert keine
Ratenbeschränkung, obwohl diese Log-Nachrichten auch von Gästen angestoßen
werden können. Einem entfernten, einfach authentifizierten Angreifer ist es
durch das Ausnutzen dieser Schwachstelle möglich, einen
Denial-of-Service-Angriff durchzuführen. Betroffen sind Xen 3.2.x und
spätere Versionen. ARM Systeme sind nicht betroffen.

CVE-2015-7970: Schwachstelle in Xen ermöglicht Denial-of-Service-Angriff

Wenn eine HVM Domain im “Populate-on-Demand” Modus betrieben wird, sucht Xen
bei größeren Nutzeraufkommen auf einer anderen Seite derselben Domain
manchmal nach Speicher, der zurückgefordert werden kann. Da diese Suche ohne
Bevorrechtigung läuft, ist es einem HVM Gast Administrator möglich, eine
Situation aufkommen zu lassen, in der die Suche einen zeitaufwändigen
linearen Scan des Gast Adressraums darstellt. Ein einfach authentifizierter,
sich im benachbarten Netzwerk befindlicher Angreifer kann durch Ausnutzen
der Schwachstelle einen partiellen Denial-of-Service (DoS)-Zustand auslösen.
Von dieser Schwachstelle betroffen sind alle Version von Xen 3.4 an
aufwärts, jedoch ausschließlich x86 HVM Gastsysteme.

CVE-2015-7969: Zwei Schwachstellen in Xen ermöglichen
Denial-of-Service-Angriffe

Es bestehen zwei Schwachstellen in Xen bei der Speichervergabe:

1) Das primäre Array von ‘vcpu’-Pointern einer Domain kann genau einmal zur
Lebenszeit derselben durch einen XEN_DOMCTL_max_vcpus Hypercall zugewiesen
werden.

2) Der Xenoprofil-Status einer Domain beinhaltet ein Array von
‘per-vcpu’-Information, das genau einmal zur Lebenszeit der Domain
zugewiesen wird, in Beantwortung eines XENOPROF_get_buffer Hypercalls auf
sich selbst oder durch eine Domain mit dem Recht das Profil einer
Ziel-Domain anzulegen mittels eines XENOPROF_set_passive Hypercalls.

Bei einem Abbau (‘teardown’) der Domain bleiben diese Arrays jeweils
bestehen, d.h. es kommt zu einem Speicherleck, was dazu führt, dass der
Speicher mit der Zeit vollständig verbraucht und so das gesamte System
beeinträchtigt wird.

Ein im benachbarten Netz befindlicher, einfach authentisierter Angreifer,
mit Rechten, die es ihm ermöglichen Domains zu erzeugen oder neu zu starten,
kann einen Denial-of-Service (DoS)-Angriff durchführen.

CVE-2015-7814: Schwachstelle in Xen ermöglicht Denial-of-Service-Angriff

In der Speicherverwaltung von Xen besteht eine Schwachstelle. Wenn Speicher
freigegeben wird, aufgrund des Abbaus einer Domain, kann es zu einem
“Rennen” kommen zwischen Xen und einer Domain, die den Speicher, welcher
derselben Domain zugeordnet ist mit XENMEM_decrease_reservation reduziert.
Hierfür muss diese Domain wenigstens die Rechte für
XENMEM_decrease_reservation oder XEN_DOMCTL_destroy über eine andere Domain
besitzen. Als Folge des “Rennens” kommt es zu einem Absturz des Hosts. Ein
entfernter, nicht authentisierter Angreifer kann einen
Denial-of-Service-Angriff durchführen. Von dieser Schwachstelle potenziell
betroffen sind nur ARM Systeme.

CVE-2015-7813: Schwachstelle in Xen ermöglicht Denial-of-Service-Angriff

Die Hypercall Aufrufe HYPERVISOR_physdev_op und fast alle Suboperationen von
HYPERVISOR_hvm_op sind derzeit nicht durch Xen auf ARM implementiert. Beim
Aufrufen dieser Funktion in der Hypervisor Konsole wird diese dadurch
gesperrt. Allerdings sind diese für Gäste zugänglichen log-Nachrichten nicht
in ihrer Rate beschränkt. Ein entfernter, nicht authentisierter Gastnutzer
kann diese Schwachstelle ausnutzen, um einen Denial-of-Service (DoS)-Angriff
durchzuführen. Von dieser Schwachstelle betroffen sind Xen 4.4 und spätere
Systeme ausschließlich auf ARM Hardware, nicht jedoch x86 Systeme.

CVE-2015-7812: Schwachstelle in Xen ermöglicht Denial-of-Service-Angriff

In der Ausführung von “multicall” Hypercalls in Xen besteht eine
Schwachstelle hinsichtlich der Bevorrechtigung einzelner Operationen
innerhalb eines solchen Aufrufs. Ein entfernter, nicht authentisierter
Gastnutzer kann, mit Hilfe bestimmter bevorrechtigbarer Hypercalls über die
‘multicall’-Schnittstelle, den Host zum Absturz bringen und somit einen
Denial-of-Service (DoS)-Angriff durchzuführen. Von dieser Schwachstelle
betroffen sind 32- und 64-bit ARM Systeme ab Xen 4.4 aufwärts, jedoch keine
x86 Systeme.

CVE-2015-7311: Schwachstelle in Xen ermöglicht Manipulation von Dateien

Über libxl in Xen ist es möglich eine Festplatte als ‘Read-only’ für
Gast-Benutzer zu markieren. Es existiert allerdings kein Code in libxl, der
diese Informationen an QEMU-Xen weiterreicht und ebenfalls kein Code in
QEMU, um diese Konfigurationsoption sicherzustellen. Ein einfach
authentifizierter Gast-Administrator im benachbarten Netzwerk, als
Angreifer, kann durch das Ausnutzen dieser Schwachstelle Dateien
manipulieren.

CVE-2015-6654: Schwachstelle in Xen erlaubt Denial-of-Service

Die Funktion “xenmem_add_to_physmap_one()” enthält eine Schwachstelle,
welche die Anzahl von Nachrichten, die durch “printk()” ausgegeben werden,
nicht limitiert. Ein lokaler Benutzer an einem Gastsystem kann die
Schwachstelle ausnutzen, um die Konsole mit Nachrichten zu überfluten.
Systeme, die libxl, libvirt, xm/xend, XCP/XenServer, OpenStack oder
CloudStack nutzen, sind von dieser Schwachstelle generell nicht betroffen.
ARM-Systeme können davon betroffen sein.

CVE-2015-3259: Stack-Speicherüberlauf-Schwachstelle in Xen XL ermöglicht
Privilegieneskalation

Eine Schwachstelle in der XL-Kommandozeile ermöglicht es Angreifern, mittels
langer Konfigurationsparameter, einen Stack-basierten Pufferüberlauf zu
verursachen. Dadurch kann ein bedingt vertrauenswürdiger Gast-Administrator,
der in der Lage ist einen Teil der Domäne zu verwalten, seine Privilegien
auf den gesamten Host erweitern. Diese Schwachstelle betrifft Systeme, deren
Kommandozeile ohne Längenprüfung der Eingabe arbeiten. Systeme, welche ohne
XL zu nutzen direkt die “libxl”-Bibliothek verwenden, sind nicht betroffen.
Ebenso sind Systeme nicht betroffen, die andere Toolstacks als XL verwenden.
Die Schwachstelle betrifft x86- und ARM-Systeme.

CVE-2015-3340: Schwachstelle in Xen ermöglicht das Ausspähen von
Informationen

Der Handler für XEN_DOMCTL_gettscinfo initialisiert einen Speicherbereich
nicht korrekt, so dass dieser in der Folge in den Speicher von Gastsystemen
kopiert wird. Ein im benachbarten Netzwerk befindlicher, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um
Informationen auszuspähen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1906/

Schwachstelle CVE-2015-3340 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3340

Schwachstelle CVE-2015-3259 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3259

Schwachstelle CVE-2015-6654 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6654

Schwachstelle CVE-2015-7311 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7311

Schwachstelle CVE-2015-7812 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7812

Schwachstelle CVE-2015-7813 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7813

Schwachstelle CVE-2015-7814 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7814

Schwachstelle CVE-2015-7969 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7969

Schwachstelle CVE-2015-7970 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7970

Schwachstelle CVE-2015-7971 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7971

Schwachstelle CVE-2015-7972 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7972

Schwachstelle CVE-2015-5307 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5307

Schwachstelle CVE-2015-8104 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8104

Debian Security Advisory DSA-3414-1:
https://www.debian.org/security/2015/dsa-3414

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben