OracleVM 3.4:Unbreakable / 等 (OVMSA-2018-0002)

high Nessus 插件 ID 105521

简介

远程 OracleVM 主机缺少一个或多个安全更新。

描述

远程 OracleVM 系统缺少解决关键安全更新的必要补丁:

- fuse:发布 fuse_dev_release 中的 fc->lock 后,调用 end_queued_requests (Ashish Samant) [Orabug:26431550]

- rds:修复 rds_ib_xmit_rdma 中无信号 wrs 的不准确统计 (H&aring kon Bugge) [Orabug:27097105]

- rds:修复无信号 wrs 的不准确统计 (H&aring kon Bugge)

- rds:ib:修复调试代码中的空指针取消引用 (H&aring kon Bugge)

- bnx2x:修复慢速路径空崩溃 (Zhu Yanjun) [Orabug:
27133587]

- rds:如果启用 RDS netfilter 并使用 RDS/TCP,则会发生系统错误 (Ka-Cheong Poon) [Orabug:27150029]

- USB:serial:console:修复设置失败后的释放后使用 (Johan Hovold) [Orabug:27206830] (CVE-2017-16525)

- mlx4:订阅 PXM 通知程序 (Konrad Rzeszutek Wilk)

- xen/pci:添加针对 PXM (NUMA) 更改的 PXM 节点通知程序。
(Konrad Rzeszutek Wilk)

- xen/pcifront:XenStore 通知后遍历 PCI 总线 (Konrad Rzeszutek Wilk)

- uwb:正确检查 kthread_run 返回值 (Andrey Konovalov) [Orabug:27206880] (CVE-2017-16526)

- ALSA:usb-audio:检查由损坏的缓冲区描述符进行的越界访问 (Takashi Iwai) [Orabug:27206923] (CVE-2017-16529)

- USB:uas:修复处理替换设置中的错误 (Alan Stern) [Orabug:27206999] (CVE-2017-16530)

- USB:修复 usb_set_configuration 中的越界 (Greg Kroah-Hartman) [Orabug:27207224] (CVE-2017-16531)

- HID:usbhid:修复越界错误 (Jaejoong Kim) [Orabug:27207918] (CVE-2017-16533)

- USB:core:修复 usb_get_bos_descriptor 中的越界访问错误 (Alan Stern) [Orabug:27207970] (CVE-2017-16535)

- [media] cx231xx-cards:修复缺失关联描述符上的空取消引用 (Johan Hovold) [Orabug:27208047] (CVE-2017-16536)

- 将 max_t 替换为 dequeue_entity_load_avg 中的 sub_positive (Gayatri Vasudevan) [Orabug:
27222316]

- sched/fair:修复 cfs_rq 平均跟踪下溢 (Gayatri Vasudevan)

- KVM: nVMX:如果事件被重新注入 L2,则修复 vmx_check_nested_events() 返回值 (Liran Alon) [Orabug:
27250111]

- KVM:VMX:使用 kvm_event_needs_reinjection (Wanpeng Li) [Orabug:27250111]

- KVM: nVMX:修复待定事件注入 (Wanpeng Li) [Orabug:27250111]

解决方案

更新受影响的 kernel-uek/kernel-uek-firmware 程序包。

另见

http://www.nessus.org/u?a0a54569

插件详情

严重性: High

ID: 105521

文件名: oraclevm_OVMSA-2018-0002.nasl

版本: 3.4

类型: local

发布时间: 2018/1/4

最近更新时间: 2019/9/27

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: High

基本分数: 7.2

时间分数: 5.3

矢量: AV:L/AC:L/Au:N/C:C/I:C/A:C

时间矢量: E:U/RL:OF/RC:C

CVSS v3

风险因素: High

基本分数: 7.8

时间分数: 6.8

矢量: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

时间矢量: E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:oracle:vm:kernel-uek, p-cpe:/a:oracle:vm:kernel-uek-firmware, cpe:/o:oracle:vm_server:3.4

必需的 KB 项: Host/local_checks_enabled, Host/OracleVM/release, Host/OracleVM/rpm-list

易利用性: No known exploits are available

补丁发布日期: 2018/1/3

漏洞发布日期: 2017/11/4

参考资料信息

CVE: CVE-2017-16525, CVE-2017-16526, CVE-2017-16529, CVE-2017-16530, CVE-2017-16531, CVE-2017-16533, CVE-2017-16535, CVE-2017-16536