DFN-CERT Portal

Schwachstellen

DFN-CERT-2017-1627: Xen: Mehrere Schwachstellen ermöglichen u.a. die Eskalation von Privilegien

Historie

Version 1 (2017-09-14 15:09)
Neues Advisory
Version 2 (2017-09-22 13:01)
Für die SUSE Linux Enterprise Produktvarianten Server for SAP 12 und Server 12 LTSS stehen Sicherheitsupdates für Xen bereit, um die Schwachstellen zu beheben.

Betroffene Software

Xen

Betroffene Plattformen

SUSE Linux Enterprise Debuginfo 11 SP4
SUSE Linux Enterprise Software Development Kit 11 SP4
SUSE Linux Enterprise Server 11 SP4
SUSE Linux Enterprise Server 12 LTSS
SUSE Linux Enterprise Server for SAP 12

Lösung

Patch

SUSE Security Update SUSE-SU-2017:2450-1

Patch

SUSE Security Update SUSE-SU-2017:2541-1

Beschreibung

Mehrere Schwachstellen in Xen ermöglichen zumeist einem authentisierten Benutzer im benachbarten Netzwerk, als Angreifer, das Ausspähen von Informationen, die Durchführung von Denial-of-Service (DoS)-Angriffen, die Ausführung beliebigen Programmcodes und die Erweiterung der eigenen Privilegien. Über einzelne Schwachstellen kann auch ein lokaler, authentisierter oder nicht authentisierter Angreifer sowie ein entfernter, nicht authentisierter Angreifer einen Denial-of-Service-Zustand bewirken.

Für die SUSE Linux Enterprise Produkte Software Development Kit, Server und Debuginfo in der Version 11 SP4 stehen Sicherheitsupdates für Xen bereit, die diese Schwachstellen beheben.

Schwachstellen

CVE-2017-14319: Schwachstelle in Xen ermöglicht Privilegieneskalation

Beim Entfernen oder Ersetzen eines 'Grant Mappings' muss in dem für x86 PV-Gäste spezifischen Pfad sichergestellt werden, dass Seitentabelleneinträge (Page Table Entries) synchronisiert mit anderem 'Accounting' bleiben. Obwohl die Identität des Seitenrahmens (Page Frame) korrekt validiert wird, wird weder das Vorhandensein des Mappings, noch die Beschreibbarkeit der Seite (Page Writability) in Betracht gezogen. Ein bösartiger oder fehlerhafter x86 PV-Gast, als einfach authentisierter Angreifer im benachbarten Netzwerk, kann diese Schwachstelle ausnutzen, um eine Privilegieneskalation durchzuführen oder den Hypervisor zum Absturz zu bringen (Denial-of-Service) (XSA-234).

CVE-2017-14317: Schwachstelle in Xen ermöglicht Denial-of-Service-Angriff

Eine Schwachstelle in Xen beruht auf einer doppelten Freigabe (Double-free) aufgrund einer Race Condition (Wettlaufsituation) in 'cxenstored' beim Herunterfahren einer VM mit einer 'stubdomain'. Ein lokaler, einfach authentisierter Angreifer kann den 'xenstored' Daemon dadurch zum Absturz bringen und einen Denial-of-Service (DoS)-Zustand für die Teile des Systems bewirken, die den Daemon für ihre Arbeit benötigen. Systeme die 'oxenstored' anstelle von 'xenstored' verwenden, sind von der Schwachstelle nicht betroffen (XSA-233).

CVE-2017-14316: Schwachstelle in Xen ermöglicht Ausführen beliebigen Programmcodes

Die Funktion 'alloc_heap_pages' erlaubt dem Aufrufer der Funktion den ersten 'NUMA' Knoten mittels des 'memflags' Parameters zu spezifizieren, der für Allokationen verwendet werden soll. Der Knoten wird mittels des 'MEMF_get_node'-Makros extrahiert. Die Funktion überprüft, ob die Konstante 'NUMA_NO_NODE' spezifiziert ist, lässt den Fall, dass 'node >= MAX_NUMNODES' ist allerdings unbehandelt. Ein einfach authentisierter Angreifer im benachbarten Netzwerk kann diese Schwachstelle ausnutzen, um einen Zugriff außerhalb zulässiger Begrenzungen (Out-of-bounds Access) auf ein internes Array durchzuführen und damit über manipulierte Hypercalls beliebigen Programmcode innerhalb von Xen zur Ausführung zu bringen (XSA-231).

CVE-2017-12855: Schwachstelle in Xen ermöglicht Ausspähen von Informationen

Die '_GTF_{reading,writing}'-Bits werden von Xen gesetzt, um Gastbenutzer darüber zu informieren, ob ein 'Grant' verwendet wird. Von einem Gastbenutzer wird erwartet, dass er 'Grant Details' nicht verändert, während der 'Grant' verwendet wird. Der Gastbenutzer kann jedoch einen 'Grant Entry' verändern oder wiederverwenden, wenn dieser nicht in Verwendung ist. Unter bestimmten Umständen kann es passieren, dass Xen die Status-Bits zu früh freigibt, so dass der Gastbenutzer fälschlich informiert wird, dass ein 'Grant' nicht länger verwendet würde. Ein einfach authentisierter Angreifer im benachbarten Netzwerk, welcher eine Domäne kontrolliert, kann diese Schwachstelle ausnutzen, um Informationen eines anderen Gastbenutzers auszuspähen, falls dieser einen 'Granted Frame' in dem falschen Glauben verwendet, dass dieser wieder einen sicheren, privaten Status hat (XSA-230).

CVE-2017-12137: Schwachstelle in Xen ermöglicht Privilegieneskalation

Beim 'Mapping' einer 'Grant'-Referenz muss ein Gastbenutzer Xen darüber informieren, worauf der 'Grant' gemappt werden soll. Für PV-Gastbenutzer erfolgt das durch Angabe einer existenten linearen Adresse oder eines L1-Seitentabelleneintrags, welcher zu verändern ist. In keinem dieser PV-Pfade wird auf einen Abgleich der weitergegebenen Parameter geprüft. Die lineare Adresse wird bei der Berechnung des zu verwendenden L1-Eintrages passend abgeschnitten, aber in dem Pfad, der einen direkt nominierten L1-Eintrag verwendet, erfolgen keine Prüfungen. Dadurch führt Xen ein fehlerhaft abgeglichenes Update der Seitentabelle durch, wodurch sowohl der beabsichtigte Eintrag als auch alle nachfolgenden Einträge mit Werten kompromittiert werden, welche weitgehend vom Gastbenutzer kontrolliert werden. Wenn der falsch abgeglichene Wert Seitengrenzen überquert, wird sogar eine beliebige andere Heap-Seite kompromittiert. Ein PV-Gastbenutzer, als einfach authentisierter Angreifer im benachbarten Netzwerk, kann diese Schwachstelle ausnutzen, um seine Privilegien auf die des Hosts zu eskalieren. Von dieser Schwachstelle sind nur x86-Systeme betroffen (XSA-227).

CVE-2017-12135: Schwachstelle in Xen ermöglicht u.a. Denial-of-Service-Angriff

Im Programmcode für den Umgang mit Kopieroperationen auf transitiven 'Grants' ist eine Wiederholungslogik implementiert, in die eine Funktion involviert ist, die sich selbst mit unveränderten Parametern erneut aufruft. Dies ermöglicht es, unbegrenzt Funktionsaufrufe zu verschachteln (Tail Call). Zudem führt ein Fehler in der korrekten Durchführung zum Zählen und Sperren von Referenzen für transitive 'Grants' dazu, dass ein gleichzeitiger Gebrauch eines transitiven 'Grant' die Referenzen weiterer transitiv referenzierter 'Grants' offenlegt. Ein einfach authentisierter Angreifer im benachbarten Netzwerk kann durch das Ausnutzen der Schwachstelle Xen abstürzen lassen (Denial-of-Service) sowie Referenzen anderer 'Grants' ausspähen und zusätzlich einen Denial-of-Service-Angriff gegen den Empfänger des 'Grants' durchzuführen. Das Eskalieren von Privilegien und das Ausspähen weiterer Informationen kann als Auswirkung der Schwachstelle nicht ausgeschlossen werden (XSA-226).

CVE-2017-11434: Schwachstelle in Xen / QEMU ermöglicht Denial-of-Service-Angriff

In der Funktion 'dhcp_decode' in 'slirp/bootp.c' in QEMU existiert eine Schwachstelle, die es einem nicht authentisierten, lokalen Angreifer ermöglicht über präparierte DHCP-Optionszeichenketten (Options Strings) lesend auf Speicherbereiche außerhalb der zulässigen Speichergrenzen zuzugreifen (Out-of-bounds Read) und darüber den QEMU-Prozess zum Absturz zu bringen (Denial-of-Service).

CVE-2017-11334: Schwachstelle in Xen / QEMU ermöglicht Denial-of-Service-Angriff

In QEMU, der für die Verwendung von 'qemu_map_ram_ptr' erstellt wurde, existiert eine Schwachstelle, die es ermöglicht, während einer direkten Speicherzugriffsoperation (Direct Memory Access, DMA) auf Speicher außerhalb der zulässigen Grenzen zuzugreifen (Out-of-bounds Access) und so einen Denial-of-Service (DoS)-Zustand herbeizuführen. Ein einfach authentisierter, lokaler Angreifer kann einen Denial-of-Service-Angriff durchführen.

CVE-2017-10806: Schwachstelle in Xen / QEMU ermöglicht Denial-of-Service-Angriff

Falls QEMU mit USB-Umleitungsunterstützung (USB Redirector Support) erstellt wurde und 'Debug'-Nachrichtenprotokollierung im Gerät aktiviert ist, kann ein Pufferüberlauf auf dem Stack ausgelöst werden, der den Absturz des QEMU-Prozesses zur Folge hat. Der Benutzer eines Gastsystems kann als einfach authentisierter Angreifer im benachbarten Netzwerk diese Schwachstelle für einen Denial-of-Service (DoS)-Angriff ausnutzen.

CVE-2017-10664: Schwachstelle in Xen / QEMU ermöglicht Denial-of-Service-Angriff

In QEMU, mit Unterstützung für den Network Block Device (NBD)-Server, existiert eine Schwachstelle durch den Abbruch einer Verbindung durch den Client aufgrund einer fehlerhaften Verhandlungskommunikation, wodurch ein SIGPIPE-Signal ausgelöst werden kann.
Ein entfernter, nicht authentisierter Angreifer kann den QEMU-Prozess zum Absturz bringen und so einen Denial-of-Service (Dos)-Zustand bewirken.

Referenzen

© DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf des schriftlichen Einverständnisses des Rechteinhabers.