Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 2 (03.04.19):
Für SUSE Linux Enterprise Debuginfo 11 SP3 steht ein Sicherheitsupdate für
Xen zur Verfügung, mit diesem werden die aufgeführten Schwachstellen,
ausgenommen CVE-2017-13672, behoben und vier nicht sicherheitsrelevante
Fehler adressiert.
Version 1 (02.04.19):
Neues Advisory

Ein einfach authentisierter Angreifer im Gastbetriebssystem kann zahlreiche
Schwachstellen in Xen ausnutzen, um seine Privilegien zu Hostsystem-
Privilegien zu eskalieren, Informationen ausspähen oder einen kompletten
Denial-of-Service (DoS)-Zustand des Hostsystems zu bewirken. Weitere
Schwachstellen ermöglichen einem lokale, einfach authentisierten Benutzer,
als Angreifer, zusätzlich möglicherweise die Ausführung beliebigen
Programmcodes mit den Privilegien des Prozesses. Ein entfernter, nicht
authentisierter Angreifer kann mit Hilfe eines präparierten Paketes, welches
ein Benutzer laden muss, einen kompletten Denial-of-Service (DoS)-Zustand
bewirken und möglicherweise weitere, nicht genauer spezifizierte Angriffe
durchführen.

Für die SUSE Linux Enterprise Produkte Server 12 LTSS und 12 SP1 LTSS sowie
Server for SAP 12 SP1 stehen Sicherheitsupdates für ‘xen’ bereit.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2019-0657]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html