Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 1 (29.05.18):
Neues Advisory

Eine Schwachstelle in Xen ermöglicht es einem einfach authentifizierten
Angreifer im benachbarten Netzwerk, einen Denial-of-Service (DoS)-Angriff
durchzuführen und eventuell Privilegien zu eskalieren oder Informationen
auszuspähen. Ein weitere Schwachstelle ermöglicht einem lokalen, einfach
authentifizierten Angreifer einen Denial-of-Service (DoS)-Angriff auf den
Host. Die Schwachstelle CVE-2018-3639 in der Implementierung der
spekulativen Instruktionsausführung kann ebenfalls von einem lokalen,
einfach authentifizierten Angreifer ausgenutzt werden und ermöglicht das
Ausspähen von Informationen.

Für die SUSE Linux Enterprise Produkte Software Development Kit, Server und
Desktop jeweils in Version 12 SP3 sowie für die SUSE Container-as-a-Service
(CaaS) Platform ALL stehen Sicherheitsupdates für ‘xen’ bereit, um diese
Schwachstellen und drei weitere Fehler zu beheben. Hierzu gehören auch
weitere Maßnahmen im Kontext der Page Table Isolation (XPTI) für die seit
Jahresanfang bekannten Spectre-Schwachstellen. [XSA-254]

Die Mitigation gegen CVE-2018-3639 (XSA-263, Spectre v4) kann beginnend mit
diesem Update durch das Kommandozeilenargument ‘ssbd=on/off’ für den Xen
Hypervisor an- und abgeschaltet werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-1023]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html