製品・ソフトウェアに関する情報

JVN脆弱性詳細

Xen の ioport_read および ioport_write 関数における qemu プロセスの権限を取得される脆弱性

タイトル	Xen の ioport_read および ioport_write 関数における qemu プロセスの権限を取得される脆弱性
概要	Xen の (1) ioport_read および (2) ioport_write 関数には、qemu が Xen のデバイスモデルとして使用される場合、qemu プロセスの権限を取得される脆弱性が存在します。
想定される影響	ローカルの x86 HVM ゲスト OS 管理者により、範囲外の ioport アクセスに関する問題によって、qemu プロセスの権限を取得される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2016年12月6日0:00
登録日	2017年3月10日15:47
最終更新日	2017年3月10日15:47

影響を受けるシステム

シトリックス・システムズ

Citrix XenServer 6.0.2

Citrix XenServer 6.2.0

Citrix XenServer 6.5

Citrix XenServer 7.0

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2016-9637	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-9637
National Vulnerability Database (NVD)
2	CVE-2016-9637	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9637

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-264	https://jvndb.jvn.jp/ja/cwe/CWE-264.html

ベンダー情報

No	名前	URL
Citrix Knowledge Center
1	CTX219378	https://support.citrix.com/article/CTX219378
Xen Security Advisory
2	XSA-199	http://xenbits.xen.org/xsa/advisory-199.html

変更履歴

No	変更内容	変更日
0	[2017年03月10日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2016-9637

概要	The (1) ioport_read and (2) ioport_write functions in Xen, when qemu is used as a device model within Xen, might allow local x86 HVM guest OS administrators to gain qemu process privileges via vectors involving an out-of-range ioport access.
公表日	2017年2月17日11:59
登録日	2021年1月26日14:20
最終更新日	2024年11月21日12:01

影響を受けるソフトウェアの構成

関連情報、対策とツール

No	URL	refsource	タグ
1	http://rhn.redhat.com/errata/RHSA-2016-2963.html
2	http://rhn.redhat.com/errata/RHSA-2016-2963.html
3	http://www.securityfocus.com/bid/94699
4	http://www.securityfocus.com/bid/94699
5	http://www.securitytracker.com/id/1037397
6	http://www.securitytracker.com/id/1037397
7	http://xenbits.xen.org/xsa/advisory-199.html
8	http://xenbits.xen.org/xsa/advisory-199.html
9	https://lists.debian.org/debian-lts-announce/2018/02/msg00005.html
10	https://lists.debian.org/debian-lts-announce/2018/02/msg00005.html
11	https://security.gentoo.org/glsa/201612-56
12	https://security.gentoo.org/glsa/201612-56
13	https://support.citrix.com/article/CTX219136
14	https://support.citrix.com/article/CTX219136

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-264	認可・権限・アクセス制御	https://cwe.mitre.org/data/definitions/264.html