blob: 319bbcd2df0196bb1898843ffc756c1b60396274 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
|
#use wml::debian::translation-check translation="c5b08a86124eeec7a69bfbfc233a72ef2d8cfb66" mindelta="1"
<define-tag description>sikkerhedsopdatering</define-tag>
<define-tag moreinfo>
<p>Adskillige sårbarheder er opdaget i hypervisor'en Xen. Projektet Common
Vulnerabilities and Exposures har registreret følgende problemer:</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-7777">CVE-2016-7777</a>
(XSA-190)
<p>Jan Beulich fra SUSE opdagede at Xen ikke på korrekt vis efterkom CR0.TS
og CR0.EM for x86 HVM-gæster, hvilket potentielt gjorde det muligt for
gæstebrugere at læse eller ændre registertilstandsoplysninger vedrørende
FPU, MMX eller XMM hørende til vilkårlige tasks på gæsten, ved at ændre en
instruktion mens hypervisor'en gjorde klar til at emulere den.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9379">CVE-2016-9379</a>,
<a href="https://security-tracker.debian.org/tracker/CVE-2016-9380">CVE-2016-9380</a> (XSA-198)
<p>Daniel Richman og Gabor Szarka fra Cambridge University Student-Run
Computing Facility opdagede at pygrub, bootloaderemulatoren, ikke fik sat
sine resultater i anførselstegn (eller fornuftighedskontrolleret dem), når
de blev rapporteret til dens kaldende funktion. En ondsindet
gæsteadministrator kunne drage nytte af fejlen til at forårsage en
informationslækage eller lammelsesangreb (denial of service).</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9382">CVE-2016-9382</a>
(XSA-192)
<p>Jan Beulich fra SUSE opdagede at Xen ikke på korrekt vis håndterede
x86-taskskift til VM86-tilstand. En upriviligeret gæsteproce kunne drage
nytte af fejlen til at få gæsten til at gå ned eller forøge sine rettigheder
til dem gæstestyresystemet har.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9383">CVE-2016-9383</a>
(XSA-195)
<p>George Dunlap fra Citrix opdagede at Xens x86 64
bit-bittestinstruktionsemulering var defekt. En ondsindet gæst kunne drage
nytte af fejlen til at ændre vilkårlig hukommelse, hvilket muliggjorde
udførelse af vilkårlig kode, lammelsesangreb (værtsnedbrud) eller
informationslækager.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9385">CVE-2016-9385</a>
(XSA-193)
<p>Andrew Cooper fra Citrix opdagede at Xens
x86-segmentbase-skrivningsemulering manglende kanoniske adressekontroller.
En ondsindet gæsteadministrator kunne drage nytte af fejlen til at få værten
til at gå ned, førende til et lammelsesangreb.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-9386">CVE-2016-9386</a>
(XSA-191)
<p>Andrew Cooper fra Citrix opdagede at x86 null-segmenter ikke altid blev
behandlet som ubrugelige. Et upriviligeret gæstebrugerprogram kunne måske
være i stand til at forsøge sine rettigheder til dem gæstestyresystemet
har.</p></li>
</ul>
<p>I den stabile distribution (jessie), er disse problemer rettet i
version 4.4.1-9+deb8u8.</p>
<p>Vi anbefaler at du opgraderer dine xen-pakker.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dsa-3729.data"
|
