Patches beheben Schwachstellen in Xen und Citrix Hypervisor
Xen-Gast-VMs konnten Denial-of-Service-Zustände herbeiführen und ihre Rechte erweitern. Das wurde jetzt gefixt.
Mehrere Versionen des freien Hypervisors Xen und des auf Xen basierenden Citrix Hypervisor (ehemals XenServer) weisen insgesamt sechs Schwachstellen auf, die Angriffe aus Gast-VMs heraus ermöglichen. Angreifer könnten die Schwachstellen unter anderem ausnutzen, um Denial-of-Service-Zustände des Hosts herbeizuführen oder ihre Privilegien zu erweitern. In einigen Fällen werden für die Angriffe von vornherein Admin-Rechte benötigt.
Es stehen Patches für Xen und für Citrix Hypervisor bereit. Das CERT des BSI (CERT-Bund) stuft das von den Schwachstellen ausgehende Risiko in einer Kurzinfo (CB-K19/0951) insgesamt als "hoch" ein.
Xen patchen – aber mit Bedacht
Xen-Nutzer sollten vor der Patch-Installation gründlich die verfügbaren Advisories zu den Sicherheitslücken studieren:
- CVE-2019-18420: Advisory XSA-296 / MITRE-Eintrag
- CVE-2019-18421: Advisory XSA-299 / MITRE-Eintrag
- CVE-2019-18422: Advisory XSA-303 / MITRE-Eintrag
- CVE-2019-18423: Advisory XSA-301 / MITRE-Eintrag
- CVE-2019-18424: Advisory XSA-302 / MITRE-Eintrag
- CVE-2019-18425: Advisory XSA-298 / MITRE-Eintrag
Sie enthalten nicht nur die Links zu den Patches, sondern geben auch Aufschluss über (nicht) verwundbare Versionen und Systeme sowie Fälle, in denen man aus Kompatibilitätsgründen auf die Patch-Installation verzichten sollte.
Hotfixes für Citrix Hypervisor/XenServer
Citrix hat einen eigenen Sicherheitshinweis zu den bereitstehenden Hypervisor-Hotpatches veröffentlicht. Aus ihm geht hervor, dass alle aktuell unterstützten Hypervisor-Versionen einschließlich Version 8.0 via CVE-2019-18420, CVE-2019-18421, CVE-2019-18424 und CVE-2019-18425 angreifbar sind.
Die Links zu den Hotfixes sowie weitere Informationen sind dem Sicherheitshinweis zu entnehmen. (ovw)