U radu programskog paketa Xen uočeni su sigurnosni propusti koje napadač može iskoristiti za stjecanje povećanih ovlasti, izvršavanje proizvoljnog programskog koda te izvođenje DoS napada.
Paket:
xen 4.x
Operacijski sustavi:
Fedora 15
Problem:
pogreška u programskoj funkciji, preljev međuspremnika
Iskorištavanje:
lokalno
Posljedica:
dobivanje većih privilegija, proizvoljno izvršavanje programskog koda, uskraćivanje usluga (DoS)
Rješenje:
programska zakrpa proizvođača
CVE:
CVE-2011-1583
Izvorni ID preporuke:
FEDORA-2011-6859
Izvor:
Fedora
Problem:
Propusti su posljedica preljeva međuspremnika u "xc_try_bzip2_decode()" i "xc_try_lzma_decode()".
Posljedica:
Napadaču nedostaci omogućuju izvođenje DoS (eng. Denial of Service) napada, pokretanje zlonamjernog programskog koda te stjecanje povećanih ovlasti.
Rješenje:
Svim se korisnicima preporuča instalacija ispravljene inačice.
--------------------------------------------------------------------------------
Fedora Update Notification
FEDORA-2011-6859
2011-05-11 05:46:13
--------------------------------------------------------------------------------
Name : xen
Product : Fedora 15
Version : 4.1.0
Release : 2.fc15
URL : http://xen.org/
Summary : Xen is a virtual machine monitor
Description :
This package contains the XenD daemon and xm command line
tools, needed to manage virtual machines running under the
Xen hypervisor
--------------------------------------------------------------------------------
Update Information:
Overflows in kernel decompression can allow root on xen PV guest to gain
privileged access to base domain, or access to xen configuration info.
Lack of error checking could allow DoS attack from guest. [CVE-2011-1583]
Don't require /usr/bin/qemu-nbd as it isn't used at present.
--------------------------------------------------------------------------------
ChangeLog:
* Mon May 9 2011 Michael Young <Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.> - 4.1.0-2
- Overflows in kernel decompression can allow root on xen PV guest to gain
privileged access to base domain, or access to xen configuration info.
Lack of error checking could allow DoS attack from guest [CVE-2011-1583]
- Don't require /usr/bin/qemu-nbd as it isn't used at present.
--------------------------------------------------------------------------------
This update can be installed with the "yum" update program. Use
su -c 'yum update xen' at the command line.
For more information, refer to "Managing Software with yum",
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
--------------------------------------------------------------------------------
_______________________________________________
package-announce mailing list
Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.
https://admin.fedoraproject.org/mailman/listinfo/package-announce
Posljednje sigurnosne preporuke