製品・ソフトウェアに関する情報

JVN脆弱性詳細

Xen におけるバッファオーバーフローの脆弱性

Title	Xen におけるバッファオーバーフローの脆弱性
Summary	Xen には、バッファオーバーフローの脆弱性が存在します。
Possible impacts	シャドウページングで動作しているローカルの x86 HVM ゲスト OS 管理者により、ページテーブルのアップデートを介して、サービス運用妨害 (DoS) 状態にされる可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Sept. 8, 2016, midnight
Registration Date	Sept. 26, 2016, 5:31 p.m.
Last Update	Sept. 26, 2016, 5:31 p.m.

Affected System

Xen プロジェクト

Xen 4.7.x およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2016-7094	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-7094
National Vulnerability Database (NVD)
2	CVE-2016-7094	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7094

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-119	https://jvndb.jvn.jp/ja/cwe/CWE-119.html

ベンダー情報

No	Name	URL
Citrix Knowledge Center
1	CTX216071	http://support.citrix.com/article/CTX216071
Oracle Technology Network
2	Oracle VM Server for x86 Bulletin - July 2016	http://www.oracle.com/technetwork/topics/security/ovmbulletinjul2016-3090546.html
Xen Security Advisory
3	XSA-187	http://xenbits.xen.org/xsa/advisory-187.html
Xen プロジェクト
4	xsa187-0001-x86-shadow-Avoid-overflowing-sh_ctxt-seg_reg.patch	http://xenbits.xen.org/xsa/xsa187-0001-x86-shadow-Avoid-overflowing-sh_ctxt-seg_reg.patch

Change Log

No	Changed Details	Date of change
0	[2016年09月26日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2016-7094

Summary	Buffer overflow in Xen 4.7.x and earlier allows local x86 HVM guest OS administrators on guests running with shadow paging to cause a denial of service via a pagetable update.
Publication Date	Sept. 21, 2016, 11:25 p.m.
Registration Date	Jan. 26, 2021, 2:16 p.m.
Last Update	Nov. 21, 2024, 11:57 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:o:xen:xen::::::::			4.7.0

Related information, measures and tools

No	URL	タグ
1	http://support.citrix.com/article/CTX216071	Third Party Advisory
2	http://support.citrix.com/article/CTX216071	Third Party Advisory
3	http://www.debian.org/security/2016/dsa-3663
4	http://www.debian.org/security/2016/dsa-3663
5	http://www.oracle.com/technetwork/topics/security/ovmbulletinjul2016-3090546.html
6	http://www.oracle.com/technetwork/topics/security/ovmbulletinjul2016-3090546.html
7	http://www.securityfocus.com/bid/92864	Third Party Advisory VDB Entry
8	http://www.securityfocus.com/bid/92864	Third Party Advisory VDB Entry
9	http://www.securitytracker.com/id/1036753	Third Party Advisory VDB Entry
10	http://www.securitytracker.com/id/1036753	Third Party Advisory VDB Entry
11	http://xenbits.xen.org/xsa/advisory-187.html	Patch Vendor Advisory
12	http://xenbits.xen.org/xsa/advisory-187.html	Patch Vendor Advisory
13	http://xenbits.xen.org/xsa/xsa187-0001-x86-shadow-Avoid-overflowing-sh_ctxt-seg_reg.patch	Patch Vendor Advisory
14	http://xenbits.xen.org/xsa/xsa187-0001-x86-shadow-Avoid-overflowing-sh_ctxt-seg_reg.patch	Patch Vendor Advisory
15	https://security.gentoo.org/glsa/201611-09
16	https://security.gentoo.org/glsa/201611-09

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-119	バッファエラー	https://cwe.mitre.org/data/definitions/118.html