Oracle Linux 7:Unbreakable Enterprise 内核 (ELSA-2019-4836)

medium Nessus 插件 ID 130994

简介

远程 Oracle Linux 主机缺少一个或多个安全更新。

描述

远程 Oracle Linux 7 主机上安装的程序包受到 ELSA-2019-4836 公告中提及的多个漏洞的影响。

- 多款 Intel(R) 处理器虚拟客户机操作系统的页表更新不当失效,经过身份验证的用户可利用此漏洞,通过本地访问,造成主机系统拒绝服务。(CVE-2018-12207)

- 在低于 5.2.3 的 Linux 内核版本中,攻击者可利用 drivers/block/floppy.c 造成拒绝服务(setup_format_params 除零)。两次连续 ioctl 调用可触发错误:第一次调用应使用 .sect 和 .rate 值设置驱动器几何,使 F_SECT_PER_TRACK 为零。接下来应调用软盘格式操作。本地非特权用户即使未插入软盘也可触发此错误。注意:QEMU 默认创建软盘设备。(CVE-2019-14284)

- 在 Linux 内核 5.0.1 之前的版本中发现问题。net/core/net-sysfs.c 的 register_queue_kobjects() 中发生内存泄露,这将导致拒绝服务。(CVE-2019-15916)

- 某些利用推测执行的 CPU 上存在 TSX 异步中止情况,经过身份验证的用户可利用此漏洞,通过具有本地访问权的边信道,造成信息泄露。(CVE-2019-11135)

请注意,Nessus 尚未测试此问题,而是只依靠应用程序自我报告的版本号来判断。

解决方案

更新受影响的程序包。

另见

https://linux.oracle.com/errata/ELSA-2019-4836.html

插件详情

严重性: Medium

ID: 130994

文件名: oraclelinux_ELSA-2019-4836.nasl

版本: 1.7

类型: local

代理: unix

发布时间: 2019/11/14

最近更新时间: 2021/9/8

支持的传感器: Frictionless Assessment Agent, Nessus Agent, Nessus

风险信息

VPR

风险因素: High

分数: 7.1

CVSS v2

风险因素: Low

基本分数: 2.1

时间分数: 1.6

矢量: CVSS2#AV:L/AC:L/Au:N/C:P/I:N/A:N

CVSS 分数来源: CVE-2019-11135

CVSS v3

风险因素: Medium

基本分数: 6.5

时间分数: 5.7

矢量: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/o:oracle:linux:7, p-cpe:/a:oracle:linux:kernel-uek, p-cpe:/a:oracle:linux:kernel-uek-debug, p-cpe:/a:oracle:linux:kernel-uek-debug-devel, p-cpe:/a:oracle:linux:kernel-uek-devel, p-cpe:/a:oracle:linux:kernel-uek-doc, p-cpe:/a:oracle:linux:kernel-uek-headers, p-cpe:/a:oracle:linux:kernel-uek-tools, p-cpe:/a:oracle:linux:kernel-uek-tools-libs, p-cpe:/a:oracle:linux:kernel-uek-tools-libs-devel, p-cpe:/a:oracle:linux:perf, p-cpe:/a:oracle:linux:python-perf

必需的 KB 项: Host/OracleLinux, Host/RedHat/release, Host/RedHat/rpm-list, Host/local_checks_enabled

易利用性: No known exploits are available

补丁发布日期: 2019/11/12

漏洞发布日期: 2019/7/26

参考资料信息

CVE: CVE-2018-12207, CVE-2019-11135, CVE-2019-14284, CVE-2019-15916

IAVA: 2020-A-0325-S