blob: d381f6d06df5c68996a31d79bf2e3bffd8691c64 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
|
#use wml::debian::translation-check translation="eaac0809d38604e7e9ce1fa50e1ab3a2c2a36cd4" mindelta="1"
<define-tag description>säkerhetsuppdatering</define-tag>
<define-tag moreinfo>
<p>Flera säkerhetsproblem har upptäckts i virtualiseringslösningen Xen:</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3209">CVE-2015-3209</a>
<p>Matt Tait upptäckte en brist i sättet som QEMU's AMD PCnet Ethernet
emulering hanterar multi-TMD-paket med en längd på större än 4096 bytes.
En priviligierad gästanvändare i en gäst med ett AMD PCnet Ethernetkort
aktiverat kan potentiellt använda denna brist för att köra godtycklig
kod på värden med samma rättigheter som värdens QEMU-process.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4103">CVE-2015-4103</a>
<p>Jan Beulich upptäckte att QEMU Xen-koden inte ordentligt begränsar
skrivåtkomst till värdens MSI-meddelandedatafält, vilket tillåter en
illasinnad gäst att orsaka en överbelastning.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4104">CVE-2015-4104</a>
<p>Jan Beulich upptäckte att QEMU Xen-koden inte ordentligt begränsar
åtkomst till PCI MSI-maskbitar, vilket tillåter en illasinnad gäst att
orsaka en överbelastning.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4105">CVE-2015-4105</a>
<p>Jan Beulich rapporterade att QEMU Xen-koden aktiverar loggning för PCI
MSI-X pass-through-felmeddelanden, vilket tillåter en illasinnad gäst att
orsaka en överbelastning.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4106">CVE-2015-4106</a>
<p>Jan Beulich upptäckte att QEMU Xen-koden inte ordentligt begränsar
skrivåtkomst till PCI config space för vissa PCI pass-throughenheter,
vilket tillåter en illasinnad gäst att orsaka en överbelastning, få åtkomst
till känslig information eller potentiellt köra godtycklig kod.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4163">CVE-2015-4163</a>
<p>Jan Beulich upptäckte att en saknad versionskontroll i
hypercallhanteraren GNTTABOP_swap_grant_ref kan resultera i överbelastning.
Detta gäller endast Debian stable/jessie.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-4164">CVE-2015-4164</a>
<p>Andrew Cooper upptäckte en sårbarhet i hypercallhanteraren iret,
vilket kan leda till överbelastning.</p></li>
</ul>
<p>För den gamla stabila utgåvan (Wheezy) har dessa problem rättats
i version 4.1.4-3+deb7u8. </p>
<p>För den stabila utgåvan (Jessie) har dessa problem rättats i
version 4.4.1-9+deb8u1. <a href="https://security-tracker.debian.org/tracker/CVE-2015-3209">CVE-2015-3209</a>, <a href="https://security-tracker.debian.org/tracker/CVE-2015-4103">CVE-2015-4103</a>, <a href="https://security-tracker.debian.org/tracker/CVE-2015-4104">CVE-2015-4104</a>,
<a href="https://security-tracker.debian.org/tracker/CVE-2015-4105">CVE-2015-4105</a> och <a href="https://security-tracker.debian.org/tracker/CVE-2015-4106">CVE-2015-4106</a> påverkar inte Xen-paketet i stabila
jessie, då den använder standard-qemu-paketet som redan har rättats i
DSA-3284-1.</p>
<p>För den instabila utgåvan (Sid) kommer dessa problem att rättas inom kort.</p>
<p>Vi rekommenderar att ni uppgraderar era xen-paket.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dsa-3286.data"
|
