Kurzinfo CB-K17/0749

4 Risiko: hoch
Information zu Schwachstellen und Sicherheitslücken
Titel: Xen: Mehrere Schwachstellen ermöglichen u.a. das Eskalieren von Privilegien
Datum: 04.05.2017
Software: Xen
Plattform: Oracle VM Server 3.2, Oracle VM Server 3.3, Oracle VM Server 3.4
Auswirkung: Privilegieneskalation
Remoteangriff: Ja, aus dem lokalen Netzwerk
Risiko: hoch
CVE Liste: CVE-2014-8106, CVE-2016-9603, CVE-2017-2615, CVE-2017-2620, CVE-2017-7228
Bezug: Oracle VM Security Advisory OVMSA-2017-0094 (Oracle VM 3.4)
Revisions Historie
  • Version: 1

    Neues Advisory

Beschreibung

Xen ist ein Hypervisor, der direkt auf der Hardware läuft und es erlaubt, mehrere virtuelle Maschinen unterschiedlicher Betriebssysteme auf einem physischen Computer zu betreiben.

Mehrere Schwachstellen in Xen ermöglichen einem einfach authentisierten Angreifer seine Privilegien bis hin zu 'Root'-Berechtigungen zu eskalieren, beliebigen Programmcode auszuführen, Informationen auszuspähen sowie verschiedene Denial-of-Service (DoS)-Angriffe durchzuführen. Die Ausnutzung der Schwachstelle XSA-214 benötigt einen weiteren Gast-Benutzer, der in der Rolle als Angreifer mitwirken muss. Für Oracle VM 3.2, Oracle VM 3.3 und Oracle VM 3.4 stehen Backport-Sicherheitsupdates in Form aktualisierter Pakete in den Versionszweigen 4.1.3, 4.3.0 bzw. 4.4.4 bereit. Die Sicherheitsupdates für Oracle VM 3.2 (Version 4.1.3) und Oracle VM 3.3 (4.3.0) beheben die in 2017 bis Anfang Mai veröffentlichten XSA-206 bis XSA-209 und XSA-211 bis XSA-215 sowie die ältere Schwachstelle CVE-2014-8106. Für Oracle VM 3.4 (4.4.4) wird explizit nur XSA-213 (CVE-2017-7228) aufgeführt, einige der dort aufgeführten Patches deuten aber auf weitere behobene Schwachstellen hin (bspw. XSA-206 in Xenstored).

  1. Schwachstelle CVE-2014-8106 (NVD)

  2. Schwachstelle CVE-2017-2615 (NVD)

  3. Schwachstelle CVE-2017-2620 (NVD)

  4. Schwachstelle CVE-2016-9603 (NVD)

  5. Schwachstelle CVE-2017-7228 (NVD)

  6. Oracle VM Security Advisory OVMSA-2017-0094 (Oracle VM 3.4)

  7. Oracle VM Security Advisory OVMSA-2017-0095 (Oracle VM 3.3)

  8. Oracle VM Security Advisory OVMSA-2017-0096 (Oracle VM 3.2)

  9. Xen Security Advisories, publicly released or pre-released

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.