Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:L/AC:M/Au:N/C:N/I:N/A:C)
Производитель ПО
Наименование ПО
libxen-dev
(any)
libxenstore3.0
(any)
xen-docs-4.0
(any)
xen-hypervisor-4.0-amd64
(any)
xen-hypervisor-4.0-i386
(any)
xenstore-utils
(any)
xen-utils-4.0
(any)
Описание
В гипервизоре Xen были обнаружены множественные уязвимости. Проект
Common Vulnerabilities and Exposures определяет следующие
проблемы:
CVE-2013-1917
Инструкция SYSENTER может использоваться гостями PV для ускорения
обработки системных вызовов. Тем не менее, эта инструкция почти не изменяет регистр
EFLAGS. Это может использоваться вредоносным или содержащим ошибки
пользовательским пространством для аварийного завершения работы всей системы.
CVE-2013-1919
Различные операции контроля доступа к IRQ могут не производить
предполагаемого действия, что потенциально позволяет домену-заглушке передавать клиентский
доменный доступ IRQ, к которому сам он доступа не имеет.
Это может использоваться вредоносными или содержащими ошибки ядрами доменов-заглушек для
осуществления атаки по принципу отказа в обслуживании, которая затрагивает всю систему.
В стабильном выпуске (squeeze) эти проблемы были исправлены в
версии 4.0.1-5.9.
В тестируемом (wheezy) и нестабильном
(sid) выпусках эти проблемы будут исправлены позже.
Рекомендуется обновить пакеты xen.
Common Vulnerabilities and Exposures определяет следующие
проблемы:
CVE-2013-1917
Инструкция SYSENTER может использоваться гостями PV для ускорения
обработки системных вызовов. Тем не менее, эта инструкция почти не изменяет регистр
EFLAGS. Это может использоваться вредоносным или содержащим ошибки
пользовательским пространством для аварийного завершения работы всей системы.
CVE-2013-1919
Различные операции контроля доступа к IRQ могут не производить
предполагаемого действия, что потенциально позволяет домену-заглушке передавать клиентский
доменный доступ IRQ, к которому сам он доступа не имеет.
Это может использоваться вредоносными или содержащими ошибки ядрами доменов-заглушек для
осуществления атаки по принципу отказа в обслуживании, которая затрагивает всю систему.
В стабильном выпуске (squeeze) эти проблемы были исправлены в
версии 4.0.1-5.9.
В тестируемом (wheezy) и нестабильном
(sid) выпусках эти проблемы будут исправлены позже.
Рекомендуется обновить пакеты xen.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 6:
noarch:
xen - 4.0.1-5.10
Debian GNU/Linux 6:
noarch:
xen - 4.0.1-5.10
Ссылки
http://www.debian.org/security/dsa-2662/
Источник: CVE
Наименование: CVE-2013-1919
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1919
Источник: CVE
Наименование: CVE-2013-1917
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1917
Источник: CVE
Наименование: CVE-2013-1919
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1919
Источник: CVE
Наименование: CVE-2013-1917
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1917