DFN-CERT-2016-1222 Xen: Mehrere Schwachstellen ermöglichen u.a. das Erlangen von Administratorrechten [Linux][Unix][Solaris][Windows]

DFN-CERT portal at dfn-cert.de
Thu Jul 28 14:55:02 CEST 2016


Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

  Xen 4.1.3
  Xen 4.3.0
  Xen 4.4.4
  

Betroffene Plattformen:

  Oracle VM Server 3.2
  Oracle VM Server 3.3
  Oracle VM Server 3.4
  


Mehrere Schwachstellen in Xen ermöglichen auch einem entfernten, nicht
authentifizierten Angreifer das Durchführen verschiedener Denial-of-Service
(DoS)-Angriffe. Zwei weitere Schwachstellen ermöglichen einem entfernten,
einfach authentifizierten Angreifer das Ausspähen von Informationen und
mehrere weitere Schwachstellen erlauben einem einfach authentifizierten
Angreifer aus dem benachbarten Netzwerk eine Privilegieneskalation bis hin
zu Administratorrechten und das Ausführen beliebigen Programmcodes mit den
Rechten des Dienstes. Eine Schwachstelle ermöglicht darüber hinaus einem
lokalen, nicht authentifizierten Angreifer das Ausspähen von Informationen.

Für Oracle VM 3.2, 3.3 und 3.4 stehen Sicherheitsupdates für Xen 4.1.3,
4.3.0 bzw. 4.44 bereit, um die jeweiligen Schwachstellen zu beheben.


Patch:

  Oracle VM Security Advisory OVMSA-2016-0088

  <https://oss.oracle.com/pipermail/oraclevm-errata/2016-July/000503.html>

Patch:

  Oracle VM Security Advisory OVMSA-2016-0089

  <https://oss.oracle.com/pipermail/oraclevm-errata/2016-July/000504.html>

Patch:

  Oracle VM Security Advisory OVMSA-2016-0090

  <https://oss.oracle.com/pipermail/oraclevm-errata/2016-July/000505.html>


CVE-2016-6258: Schwachstelle in Xen ermöglicht Erlangen von
  Administratorrechten

  Der Programmcode für die Speicherseitentabellen (Pagetables) von
  Paravirtualisierungen (PV) umgeht die erneute Validierung "sicherer"
  Aktualisierungen von bereits existierenden Einträgen, es werden
  beispielsweise nur Zugangsbits oder dreckige Bits (Access/Dirty Bits)
  bereinigt. Nicht alle als sicher eingestuften Bits sind aber tatsächlich
  sicher, so dass ein einfach am Gastsystem authentifizierter Angreifer mit
  erweiterten Privilegien die Schwachstelle ausnutzen kann, um seine
  Privilegien auf das Hostsystem zu erweitern.


CVE-2016-4962: Schwachstelle in Xen ermöglicht u.a.
  Denial-of-Service-Angriff

  An verschiedenen Stellen im Gerätebehandlungsprogrammcode von libxl werden
  Informationen aus dem XenStore verwendet, die ein Gastnutzer kontrollieren
  kann (Frontend Directory). Der Effekt ist für verschiedene Gerätetypen
  unterschiedlich. Prinzipiell ist die komplette Entfernung des
  Frontendverzeichnisses möglich, wodurch das jeweilige Gerät nicht mehr in
  den Gerätelisten auftaucht, bei Zerstörung der Domäne (beispielsweise durch
  Neustart oder Migration) demnach nicht mit entfernt wird. Durch wiederholten
  Neustart einer betroffenen Domäne kann so der Speicher des Hostsystems
  erschöpft werden. Dieses Verhalten kann auch auf Geräte aus anderen Domänen
  ausgeweitet werden, die in der Folge nicht mehr durch
  Gerätemanagementwerkzeuge kontrollierbar sind. Für die Treiberdomäne von
  Channel-Geräten (Channel Devices) besteht darüber hinaus die Möglichkeit,
  Konsolenwerkzeuge dazu zu bringen, sich zu beliebigen Pfaden auf dem
  Backend-Domäne (üblicherweise das Hostsystem) zu verbinden. Ein einfach
  authentifizierter Angreifer im benachbarten Netzwerk kann als Administrator
  eines Gastsystems einen Denial-of-Service-Angriff auf das Hostsystem
  durchführen und seine Privilegien auf dem Hostsystem eskalieren, wenn
  Channel-Geräte verwendet werden.


CVE-2014-3672: Schwachstelle in Xen / QEMU ermöglicht Denial-of-Service

  Während des Starts von QEMU für HVM Gastsysteme auf x86-Plattformen durch
  Werkzeuge basierend auf der Bibliothek libxl (LibXenlight) werden
  Nachrichten der Standardfehlerausgabe (stderr) über eine Pipe in eine Datei
  in /var/log/xen geleitet. Diese Ausgabe ist keinerlei Beschränkungen
  unterlegen, so dass die Datei beliebige Größen annehmen und damit die
  betreffende Partition bis zur Erschöpfung füllen kann. Ein nicht
  authentisierter Angreifer im benachbarten Netzwerk als Benutzer eines HVM
  Gastsystems auf x86-Plattformen kann einen Denial-of-Service-Angriff
  durchführen.


CVE-2016-4480: Schwachstelle in Xen ermöglicht Privilegieneskalation

  Das 'Page Size (PS) Page Table Entry Bit' existiert für alle
  Speichertabellenebenen höher als L1. Die Speicherverwaltung des Hypervisors
  hat dieses Bit allerdings für L3 und L4 bislang ignoriert, was
  möglicherweise im Konflikt zu Betriebssystemen steht, die darauf nicht
  vorbereitet sind. Falls eine Speicherseite als Speichertabelle behandelt
  wird und durch einen unprivilegierten Benutzer beschreibbar ist, kann er
  beliebigen Speicher innerhalb eines Gastsystems zuweisen. Nicht betroffen
  von dieser Schwachstelle sind ARM-Systeme und x86 PV-Systeme.


CVE-2016-3712: Schwachstelle in QEMU ermöglicht Denial-of-Service-Angriff

  Das VGA-Modul von QEMU erlaubt Gastnutzern die Änderung bestimmter Register
  im VBE- und VGA-Modus. Dadurch kann ein einfach authentifizierter Angreifer
  im benachbarten Netzwerk bestimmte VGA-Register im VBE-Modus setzen und
  einen Ganzzahlüberlauf oder Zugriff auf Speicher außerhalb des zugewiesenen
  Speicherbereichs erzeugen und so einen Denial-of-Service-Zustand des
  Gastsystems auslösen.


CVE-2016-3710: Schwachstelle in QEMU ermöglicht Ausführung beliebigen
  Programmcodes mit den Rechten des Dienstes

  Das VGA-Modul von QEMU ermöglicht Zugriff auf Videospeicher über das Fenster
  an der Adresse '0xa00000' auf verschiedene Weisen mit unterschiedlichen
  Adressberechnungen. Ein einfach authentifizierter Angreifer im benachbarten
  Netzwerk (als Benutzer eines Gastsystems) kann Speicher über das
  Speicherfenster des VGA-Moduls hinaus beschreiben und dadurch beliebigen
  Programmcode mit den Rechten des QEMU-Dienstes auf dem Hostsystem ausführen.


CVE-2016-3960: Schwachstelle in Xen ermöglicht Denial-of-Service-Angriff

  Eine Schwachstelle im x86 Shadow Pagetable Programmcode basiert auf einer zu
  klein dimensionierten Variablen in der Speicherverwaltung des Superpage
  Mappings, wodurch obere Bits von Adressen verloren gehen können. Dies löst
  entweder eine Abbruchbedingung (Assertion) oder eine
  NULL-Zeiger-Dereferenzierung aus, wodurch das Host-System abstürzt. Anfällig
  für die Schwachstelle sind HVM-Gastsysteme, die Shadow Pagetables verwenden
  oder PV-Gastsysteme, die Shadow Pagetables mit PV Superpages verwenden. Im
  letztgenannten Fall kann es ebenfalls zu einer Speicherkorruption kommen,
  die möglicherweise für eine Privilegieneskalation ausgenutzt werden kann.
  Ein entfernter, nicht authentifizierter Angreifer kann das Host-System zum
  Absturz bringen (Denial-of-Service) und möglicherweise erweiterte
  Benutzerrechte erlangen.


CVE-2016-3159: Schwachstelle in Xen ermöglicht das Ausspähen von
  Informationen

  Bei der Verwendung eines AMD-Prozessors, welcher XSAVE/XRSTOR unterstützt,
  werden die x86 Register FOP, FIP und FDP nicht aus dem Speicher durch XRSTOR
  oder FXRSTOR wieder hergestellt, solange keine Ausnahme ('Unmasked
  Exception') vorliegt. Um dieses Problem zu beheben, wurde in Xen ein
  Workaround eingebaut, der aber nicht alle Fälle abdeckt. Das Schreiben in
  das FSW.ES Bit der Hardware wird ignoriert, sodass Xen das FSW.ES Bit aus
  der anstehenden Ausnahme und den Ausnahmemasken-Bits berechnen muss. Dadurch
  können Registerinhalte für Fließkommazahlberechnungen eines Gastsystems
  einem anderen gegenüber offengelegt werden. Diese Schwachstelle ermöglicht
  einem entfernten, einfach authentifizierten Angreifer einer anderen Domain,
  Informationen über Speicherbereiche und Operationszeiten zu erlangen,
  wodurch z.B. der Sicherheitsmechanismus 'address space randomisation'
  umgangen werden kann. Außerdem sind ihm Seitenkanalangriffe möglich.
  
  CVE-2016-3159 bezieht sich auf das Sicherheitsupdate in der Funktion
  fpu_fxrstor.


CVE-2016-3158: Schwachstelle in Xen ermöglicht das Ausspähen von
  Informationen

  Bei der Verwendung eines AMD-Prozessors, welcher XSAVE/XRSTOR unterstützt,
  werden die x86 Register FOP, FIP und FDP nicht aus dem Speicher durch XRSTOR
  oder FXRSTOR wieder hergestellt, solange keine Ausnahme ('Unmasked
  Exception') vorliegt. Um dieses Problem zu beheben, wurde in Xen ein
  Workaround eingebaut, der aber nicht alle Fälle abdeckt. Das Schreiben in
  das FSW.ES Bit der Hardware wird ignoriert, sodass Xen das FSW.ES Bit aus
  der anstehenden Ausnahme und den Ausnahmemasken-Bits berechnen muss. Dadurch
  können Registerinhalte für Fließkommazahlberechnungen eines Gastsystems
  einem anderen gegenüber offengelegt werden. Diese Schwachstelle ermöglicht
  einem entfernten, einfach authentifizierten Angreifer einer anderen Domain,
  Informationen über Speicherbereiche und Operationszeiten zu erlangen,
  wodurch z.B. der Sicherheitsmechanismus 'address space randomisation'
  umgangen werden kann. Außerdem sind ihm Seitenkanalangriffe möglich.
  
  CVE-2016-3158 bezieht sich auf das Sicherheitsupdate in der Funktion xrstor,
  das für Xen 4.3 (und nur für dieses) ausreichend ist.


CVE-2016-2270: Schwachstelle in Xen ermöglicht Denial-of-Service-Angriff

  Das Einblenden (Mapping) derselben physikalischen Seite mit
  unterschiedlichen Cachefähigkeits-Einstellungen (cacheability settings) kann
  zu unterschiedlichen Problemen führen, die unter anderem den gesamten Host
  betreffen können. Das Mapping von MMIO-Seiten führt beispielsweise zu einem
  Hardware-Ausnahmefehler (Machine Check Exception). Ein einfach
  authentifizierter Angreifer im benachbarten Netzwerk mit
  Administrationsrechten auf einem Gastsystem kann diese Schwachstelle
  ausnutzen, um einen Neustart des Host-Systems zu verursachen und somit einen
  Denial-of-Service (DoS)-Angriff auf den Host durchzuführen.


CVE-2015-8550: Schwachstelle in Xen ermöglicht Privilegieneskalation

  Eine Schwachstelle in Xen basiert auf Compiler-Optimierungen in den PV
  Backend-Treibern, wodurch es zu doppeltem Auslesen von zwischen Frontend und
  Backend geteiltem Speicher kommen kann. Dies kann zum Ausführen beliebigen
  Programmcodes im Backend ausgenutzt werden. Ein einfach authentisierter
  Angreifer im benachbarten Netzwerk als Administrator eines Gastsystems kann
  einen Denial-of-Service-Angriff durchführen. Wenn keine Treiber-Domänen
  benutzt werden, ist der Absturz des Host-Systems die Folge oder eine
  Privilegieneskalation.


CVE-2014-3615: Schwachstelle in QEMU ermöglicht das Ausspähen von
  Informationen

  Im VGA Emulator von QEMU besteht eine Schwachstelle, die beim Umschalten auf
  höhere Bildschirmauflösungen, Speicherinhalte des Hosts an VNC-Clients
  übertragen kann. Ein lokaler, nicht authentisierter Angreifer kann die
  Schwachstelle zum Auslesen von Speicherinhalten ausnutzen.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
  <https://portal.cert.dfn.de/adv/DFN-CERT-2016-1222/>

Schwachstelle CVE-2014-3615 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3615>

Schwachstelle CVE-2015-8550 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8550>

Schwachstelle CVE-2016-2270 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2270>

Schwachstelle CVE-2016-3158 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3158>

Schwachstelle CVE-2016-3159 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3159>

Schwachstelle CVE-2016-3960 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3960>

Schwachstelle CVE-2016-3710 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3710>

Schwachstelle CVE-2016-3712 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3712>

Schwachstelle CVE-2016-4480 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4480>

Schwachstelle CVE-2014-3672 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3672>

Schwachstelle CVE-2016-4962 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4962>

Schwachstelle CVE-2016-6258 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-6258>

Oracle VM Security Advisory OVMSA-2016-0088:
  <https://oss.oracle.com/pipermail/oraclevm-errata/2016-July/000503.html>

Oracle VM Security Advisory OVMSA-2016-0089:
  <https://oss.oracle.com/pipermail/oraclevm-errata/2016-July/000504.html>

Oracle VM Security Advisory OVMSA-2016-0090:
  <https://oss.oracle.com/pipermail/oraclevm-errata/2016-July/000505.html>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/pkcs7-signature
Size: 4686 bytes
Desc: not available
URL: <https://lists.cert.uni-stuttgart.de/pipermail/security-announce/attachments/20160728/8e3193dc/attachment.bin>


More information about the Security-Announce mailing list