Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut employer plusieurs vulnérabilités de Xen.

Produits concernés : Debian, Fedora, openSUSE, openSUSE Leap,
SUSE Linux Enterprise Desktop, SLES, Xen.

Gravité : 2/4.

Date création : 29/10/2015.

Date révision : 30/10/2015.

DESCRIPTION DE LA VULNÉRABILITÉ

Plusieurs vulnérabilités ont été annoncées dans Xen.

Un attaquant peut provoquer une erreur fatale dans Preempting
Multicall, afin de mener un déni de service. [grav:1/4 ;
CVE-2015-7812, XSA-145]

Un attaquant peut provoquer une erreur fatale dans Rate Limiting,
afin de mener un déni de service. [grav:1/4 ; CVE-2015-7813,
XSA-146]

Un attaquant peut créer/détruire des domaines, pour provoquer
une erreur fatale, afin de mener un déni de service. [grav:1/4 ;
CVE-2015-7814, XSA-147]

Un attaquant, administrateur dans un système invité PV, peut
manipuler la mémoire, afin d’exécuter du code sur le système
hôte. [grav:2/4 ; CVE-2015-7835, qsb-022-2015, XSA-148]

Un attaquant peut provoquer une fuite mémoire dans Per-domain
Vcpu Pointer Array, afin de mener un déni de service. [grav:1/4 ;
CVE-2015-7969, XSA-149]

Un attaquant peut consommer des ressources durant un
populate-on-demand, afin de mener un déni de service. [grav:1/4 ;
CVE-2015-7970, XSA-150]

Un attaquant peut provoquer une fuite mémoire dans Per-domain
Vcpu Pointer Array sur x86, afin de mener un déni de service.
[grav:1/4 ; CVE-2015-7969, XSA-151]

Un attaquant peut utiliser HYPERCALL_xenoprof_op ou
HYPERVISOR_xenpmu_op, afin de mener un déni de service.
[grav:1/4 ; CVE-2015-7971, XSA-152]

Un attaquant peut provoquer une erreur fatale dans
"populate-on-demand balloon", afin de mener un déni de service.
[grav:1/4 ; CVE-2015-7972, XSA-153]

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/Xen-neuf-vulnerabilites-18214