检测

OracleVM 3.4:Unbreakable /等 (OVMSA-2019-0024)

high Nessus 插件 ID 125754

语言:

简介

远程 OracleVM 主机缺少一个或多个安全更新。

描述

远程 OracleVM 系统缺少解决关键安全更新的必要补丁:

 - hugetlbfs:池页面分配开始失败时请勿重试 (Mike Kravetz) [Orabug:29324267]

 - x86/推测:在 Skylake + cpu 上使用 retpoline 进行 RSB 填充 (William Roche) [Orabug:29660924]

 - x86/推测:重新格式化 RSB 覆写宏 (William Roche) [Orabug:29660924]

 - x86/推测:使用 IBRS&!SMEP 动态启用和禁用 RSB 填充 (William Roche) [Orabug:
 29660924]

 - x86/推测:STUFF_RSB 动态启用 (William Roche) [Orabug:29660924]

 - int3 处理程序可以更好地在中断上进行地址空间检测 (William Roche) [Orabug:29660924]

 - 修复 out-of-tree 构建功能 (Mark Nicholson) [Orabug:29755100]

 - ext4:修复 ext4_check_descriptors 中的漏报*和*误报 (Shuning Zhang) [Orabug:
 29797007]

 - ocfs2:修复 ocfs2_iget 中的 ocfs2 读取 inode 数据错误 (Shuning Zhang) [Orabug:29233739]

 - Bluetooth:验证 l2cap_get_conf_opt 是否提供足够大的缓冲区 (Marcel Holtmann) [Orabug:29526426] (CVE-2019-3459)

 - Bluetooth:检查从 l2cap_get_conf_opt 返回的 L2CAP 选项大小 (Marcel Holtmann) [Orabug:29526426] (CVE-2019-3459)

 - HID:调试:修复环形缓冲区实现 (Vladis Dronov) [Orabug:29629481] (CVE-2019-3819) (CVE-2019-3819)

 - scsi:target:iscsi:使用 hex2bin 而不是重新实现 (Vincent Pelletier) [Orabug:29778875] (CVE-2018-14633) (CVE-2018-14633)

 - scsi:libsas:修复 smp 任务超时出现的争用条件 (Jason Yan) [Orabug:29783225] (CVE-2018-20836)

 - scsi:megaraid_sas:创建 DMA 池失败时返回错误 (Jason Yan) [Orabug:29783254] (CVE-2019-11810)

 - 蓝牙:hidp:修复缓冲区溢出 (Young Xiao) [Orabug:29786786] (CVE-2011-1079) (CVE-2019-11884)

 - x86/推测/mds:为 MDS 添加“mitigations=”支持 (Kanth Ghatraju) [Orabug:29791046]

 - net:rds:如果 rds_tcp_kill_sock 中的 t_sock 为空,则强制破坏连接。(Mao Wenan) [Orabug:29802785] (CVE-2019-11815)

解决方案

更新受影响的 kernel-uek/kernel-uek-firmware 程序包。

另见

https://oss.oracle.com/pipermail/oraclevm-errata/2019-June/000943.html

插件详情

严重性: High

ID: 125754

文件名: oraclevm_OVMSA-2019-0024.nasl

版本: 1.3

类型: local

发布时间: 2019/6/7

最近更新时间: 2020/1/10

支持的传感器: Nessus

风险信息

VPR

风险因素: High

分数: 7.4

CVSS v2

风险因素: High

基本分数: 9.3

时间分数: 6.9

矢量: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

CVSS v3

风险因素: High

基本分数: 8.1

时间分数: 7.1

矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:oracle:vm:kernel-uek, p-cpe:/a:oracle:vm:kernel-uek-firmware, cpe:/o:oracle:vm_server:3.4

必需的 KB 项: Host/local_checks_enabled, Host/OracleVM/release, Host/OracleVM/rpm-list

可利用: true

易利用性: Exploits are available

补丁发布日期: 2019/6/5

漏洞发布日期: 2012/6/21

参考资料信息

CVE: CVE-2011-1079, CVE-2018-14633, CVE-2018-20836, CVE-2019-11810, CVE-2019-11815, CVE-2019-11884, CVE-2019-3459, CVE-2019-3819

BID: 46616