DFN-CERT-2016-1218 Xen: Mehrere Schwachstellen ermöglichen u.a. das Erlangen von Administratorrechten [Linux][Debian]

DFN-CERT portal at dfn-cert.de
Thu Jul 28 15:00:02 CEST 2016


Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

  Xen
  

Betroffene Plattformen:

  Debian Linux 8.5 Jessie
  


Mehrere Schwachstellen in Xen ermöglichen auch einem entfernten, einfach
authentifizierten bzw. lokalen, nicht authentifizierten Angreifer das
Durchführen verschiedener Denial-of-Service (DoS)-Angriffe. Zwei weitere
Schwachstellen  ermöglichen einem nicht authentifizierten Angreifer aus dem
benachbarten Netzwerk eine Privilegieneskalation und einem einfach
authentifizierten Angreifer mit erweiterten Privilegien auf dem Gastsystem
eine Privilegieneskalation bis hin zu Administratorrechten auf dem
Hostsystem.

Für die stabile Distribution Debian Jessie steht ein
Backport-Sicherheitsupdate für Xen bereit, um diese Schwachstellen zu
beheben.


Patch:

  Debian Security Advisory DSA-3633-1

  <https://www.debian.org/security/2016/dsa-3633>


CVE-2016-6258: Schwachstelle in Xen ermöglicht Erlangen von
  Administratorrechten

  Der Programmcode für die Speicherseitentabellen (Pagetables) von
  Paravirtualisierungen (PV) umgeht die erneute Validierung "sicherer"
  Aktualisierungen von bereits existierenden Einträgen, es werden
  beispielsweise nur Zugangsbits oder dreckige Bits (Access/Dirty Bits)
  bereinigt. Nicht alle als sicher eingestuften Bits sind aber tatsächlich
  sicher, so dass ein einfach am Gastsystem authentifizierter Angreifer mit
  erweiterten Privilegien die Schwachstelle ausnutzen kann, um seine
  Privilegien auf das Hostsystem zu erweitern.


CVE-2016-5242: Schwachstelle in Xen ermöglicht Denial-of-Service-Angriff

  Virtual Machine Identifier (VMIDs) sind eine begrenzte Hardware-Ressource
  für Xen und werden als Teil der Domänenerstellung alloziert. Falls bei der
  Domänenerstellung keine freien VMIDs mehr vorhanden sind, führt ein Fehler
  im Fehlerpfad (Error Path) zur Verwendung eines NULL-Zeigers und in der
  Folge zum Absturz des Host-Systems. Ein lokaler, nicht authentifizierter
  Angreifer kann durch gleichzeitige Erstellung vieler Domänen einen
  Denial-of-Service-Angriff auf das Host-System durchführen.


CVE-2016-4962: Schwachstelle in Xen ermöglicht u.a.
  Denial-of-Service-Angriff

  An verschiedenen Stellen im Gerätebehandlungsprogrammcode von libxl werden
  Informationen aus dem XenStore verwendet, die ein Gastnutzer kontrollieren
  kann (Frontend Directory). Der Effekt ist für verschiedene Gerätetypen
  unterschiedlich. Prinzipiell ist die komplette Entfernung des
  Frontendverzeichnisses möglich, wodurch das jeweilige Gerät nicht mehr in
  den Gerätelisten auftaucht, bei Zerstörung der Domäne (beispielsweise durch
  Neustart oder Migration) demnach nicht mit entfernt wird. Durch wiederholten
  Neustart einer betroffenen Domäne kann so der Speicher des Hostsystems
  erschöpft werden. Dieses Verhalten kann auch auf Geräte aus anderen Domänen
  ausgeweitet werden, die in der Folge nicht mehr durch
  Gerätemanagementwerkzeuge kontrollierbar sind. Für die Treiberdomäne von
  Channel-Geräten (Channel Devices) besteht darüber hinaus die Möglichkeit,
  Konsolenwerkzeuge dazu zu bringen, sich zu beliebigen Pfaden auf dem
  Backend-Domäne (üblicherweise das Hostsystem) zu verbinden. Ein einfach
  authentifizierter Angreifer im benachbarten Netzwerk kann als Administrator
  eines Gastsystems einen Denial-of-Service-Angriff auf das Hostsystem
  durchführen und seine Privilegien auf dem Hostsystem eskalieren, wenn
  Channel-Geräte verwendet werden.


CVE-2016-4480: Schwachstelle in Xen ermöglicht Privilegieneskalation

  Das 'Page Size (PS) Page Table Entry Bit' existiert für alle
  Speichertabellenebenen höher als L1. Die Speicherverwaltung des Hypervisors
  hat dieses Bit allerdings für L3 und L4 bislang ignoriert, was
  möglicherweise im Konflikt zu Betriebssystemen steht, die darauf nicht
  vorbereitet sind. Falls eine Speicherseite als Speichertabelle behandelt
  wird und durch einen unprivilegierten Benutzer beschreibbar ist, kann er
  beliebigen Speicher innerhalb eines Gastsystems zuweisen. Nicht betroffen
  von dieser Schwachstelle sind ARM-Systeme und x86 PV-Systeme.


CVE-2015-8338: Schwachstelle in Xen ermöglicht Denial-of-Service

  In bestimmten 'HYPERVISOR_memory_op'-Suboperationen von Xen existiert eine
  Schwachstelle aufgrund der unzureichenden Durchsetzung von Input-Grenzen für
  Page Orders, wodurch es zu lang laufenden Speicheroperationen in diesen
  Operation kommen kann. Dies betrifft insbesondere
  'XENMEM_increase_reservation', 'XENMEM_populate_physmap' und
  'XENMEM_exchange'. Ein böswilliger Gastadministrator kann diese
  Schwachstelle ausnutzen und dadurch die Verwendung einer physikalischen CPU
  über einen signifikanten Zeitraum verhindern. Im Fall, dass für einen Host
  ein Watchdog konfiguriert ist, führt dies über einen Timeout desselben zu
  einem Neustart des Hosts, bzw. entsprechend für einen anderen Gast. Ein
  entfernter, einfach authentisierter Angreifer kann somit einen
  Denial-of-Service (DoS)-Zustand herbeiführen. Weitere Angriffe, wie eine
  Privilegieneskalation, können nicht ausgeschlossen werden. Von dieser
  Schwachstelle betroffen sind alle Xen Versionen, welche ARM unterstützen.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
  <https://portal.cert.dfn.de/adv/DFN-CERT-2016-1218/>

Schwachstelle CVE-2015-8338 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8338>

Schwachstelle CVE-2016-4480 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4480>

Schwachstelle CVE-2016-4962 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4962>

Schwachstelle CVE-2016-5242 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5242>

Schwachstelle CVE-2016-6258 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-6258>

Debian Security Advisory DSA-3633-1:
  <https://www.debian.org/security/2016/dsa-3633>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/pkcs7-signature
Size: 4686 bytes
Desc: not available
URL: <https://lists.cert.uni-stuttgart.de/pipermail/security-announce/attachments/20160728/4e25cb26/attachment.bin>


More information about the Security-Announce mailing list