OracleVM 3.3 / 3.4:microcode_ctl (OVMSA-2020-0026) (Spectre)

medium Nessus 插件 ID 137739

语言:

简介

The remote OracleVM host is missing a security update.

描述

远程 OracleVM 系统缺少解决关键安全更新的必要补丁:

 - 将 06-2d-07 更新至 0x71a

 - 将 06-55-04 更新至 0x2006906

 - 将 06-55-07 更新至 0x5002f01

 - 通过 dracut 合并 Oracle 更改以提前加载

 - 为标记为安全的 UEK4 内核在安装时启用延迟加载(除 BDW-79)

 - 在虚拟客户机中设置 early_microcode='no' 以避免提前加载错误 [Orabug: 30618737]

 - 将 Intel CPU 微码更新至 microcode-20200602 版本,解决了 CVE-2020-0543、CVE-2020-0548、CVE-2020-0549(#1795353、#1795357、#1827186):

 - 将 06-3c-03/0x32 (HSW C0) 微码从修订版 0x27 更新至 0x28

- 将 06-3d-04/0xc0 (BDW-U/Y E0/F0) 微码从修订版 0x2e 更新至 0x2f

- 将 06-45-01/0x72 (HSW-U C0/D0) 微码从修订版 0x25 更新至 0x26

- 将 06-46-01/0x32 (HSW-H C0) 微码从修订版 0x1b 更新至 0x1c

- 将 06-47-01/0x22 (BDW-H/Xeon E3 E0/G0) 微码从修订版 0x21 更新至 0x22

- 将 06-4e-03/0xc0 (SKL-U/Y D0) 微码从修订版 0xd6 更新至 0xdc

- 将 06-55-03/0x97 (SKX-SP B1) 微码从修订版 0x1000151 更新至 0x1000157

- 将 06-55-04/0xb7(SKX-SP H0/M0/U0、SKX-D M1)微码(在 intel-06-55-04/intel-ucode/06-55-04 中)从修订版 0x2000065 更新至 0x2006906

- 将 06-55-06/0xbf (CLX-SP B0) 微码从修订版 0x400002c 更新至 0x4002f01

- 将 06-55-07/0xbf (CLX-SP B1) 微码从修订版 0x500002c 更新至 0x5002f01

- 将 06-5e-03/0x36 (SKL-H/S R0/N0) 微码从修订版 0xd6 更新至 0xdc

- 将 06-8e-09/0x10 (AML-Y22 H0) 微码从修订版 0xca 更新至 0xd6

- 将 06-8e-09/0xc0 (KBL-U/Y H0) 微码从修订版 0xca 更新至 0xd6

- 将 06-8e-0a/0xc0 (CFL-U43e D0) 微码从修订版 0xca 更新至 0xd6

- 将 06-8e-0b/0xd0 (WHL-U W0) 微码从修订版 0xca 更新至 0xd6

- 将 06-8e-0c/0x94(AML-Y42 V0、CML-Y42 V0、WHL-U V0)微码从修订版 0xca 更新至 0xd6

- 将 06-9e-09/0x2a (KBL-G/H/S/X/Xeon E3 B0) 微码从修订版 0xca 更新至 0xd6

- 将 06-9e-0a/0x22 (CFL-H/S/Xeon E3 U0) 微码从修订版 0xca 更新至 0xd6

- 将 06-9e-0b/0x02 (CFL-S B0) 微码从修订版 0xca 更新至 0xd6

- 将 06-9e-0c/0x22 (CFL-H/S P0) 微码从修订版 0xca 更新至 0xd6

- 将 06-9e-0d/0x22 (CFL-H R0) 微码从修订版 0xca 更新至 0xd6。

 - 将 Intel CPU 微码更新至 microcode-20200520 版本 (#1839193):

 - 将 06-2d-06/0x6d (SNB-E/EN/EP C1/M0) 微码从修订版 0x61f 更新至 0x621

- 将 06-2d-07/0x6d (SNB-E/EN/EP C2/M1) 微码从修订版 0x718 更新至 0x71a

- 将 06-7e-05/0x80 (ICL-U/Y D1) 微码从修订版 0x46 更新至 0x78。

 - 缩小 SKL-SP/W/X 黑名单范围,以排除服务器/FPGA/结构市场细分模型 (#1835555)。

 - 不将 06-55-04 (SKL-SP/W/X) 更新至修订版 0x2000065,默认使用 0x2000064 (#1774635)。

 - 将 Intel CPU 微码更新至 microcode-20191115 版本:

 - 将 06-4e-03/0xc0 (SKL-U/Y D0) 从修订版 0xd4 更新至 0xd6

- 将 06-5e-03/0x36 (SKL-H/S/Xeon E3 R0/N0) 从修订版 0xd4 更新至 0xd6

- 将 06-8e-09/0x10 (AML-Y 2+2 H0) 从修订版 0xc6 更新至 0xca

- 将 06-8e-09/0xc0 (KBL-U/Y H0) 从修订版 0xc6 更新至 0xca

- 将 06-8e-0a/0xc0 (CFL-U 4+3e D0) 从修订版 0xc6 更新至 0xca

- 将 06-8e-0b/0xd0 (WHL-U W0) 从修订版 0xc6 更新至 0xca

- 将 06-8e-0c/0x94(AML-Y V0、CML-U 4+2 V0、WHL-U V0)从修订版 0xc6 更新至 0xca

- 将 06-9e-09/0x2a(KBL-G/X H0、KBL-H/S/Xeon E3 B0)从修订版 0xc6 更新至 0xca

- 将 06-9e-0a/0x22 (CFL-H/S/Xeon E U0) 从修订版 0xc6 更新至 0xca

- 将 06-9e-0b/0x02 (CFL-S B0) 从修订版 0xc6 更新至 0xca

- 将 06-9e-0c/0x22 (CFL-S/Xeon E P0) 从修订版 0xc6 更新至 0xca

- 将 06-9e-0d/0x22 (CFL-H/S R0) 从修订版 0xc6 更新至 0xca

- 将 06-a6-00/0x80 (CML-U 6+2 A0) 从修订版 0xc6 更新至 0xca。

 - 将 Intel CPU 微码更新至 microcode-20191113 版本:

 - 将 06-9e-0c (CFL-H/S P0) 微码从修订版 0xae 更新至 0xc6。

 - 丢弃 0001-releasenote-changes-summary-fixes.patch。

 - 打包公开可用的 microcode-20191112 版本 (#1755021):

 - 添加修订版 0x12d 的 06-4d-08/0x1 (AVN B0/C0) 微码

- 添加 06-55-06/0xbf (CSL-SP B0) 微码修订版 0x400002c

- 添加 06-7a-08/0x1 (GLK R0) 微码修订版 0x16

- 将 06-55-03/0x97 (SKL-SP B1) 微码从修订版 0x1000150 更新至 0x1000151

- 将 06-55-04/0xb7(SKL-SP H0/M0/U0、SKL-D M1)微码从修订版 0x2000064 更新至 0x2000065

- 将 06-55-07/0xbf (CSL-SP B1) 微码从修订版 0x500002b 更新至 0x500002c

- 将 06-7a-01/0x1 (GLK B0) 微码从修订版 0x2e 更新至 0x32

- 包括来自 microcode-20190918 版本的 06-9e-0c (CFL-H/S P0) 微码。

 - 修正 releasenote 文件 (0001-releasenote-changes-summary-fixes.patch)。

 - 使用指向新知识库文章的链接更新 README.caveats。

 - 修复错误的“Source2:”标签。

 - Intel CPU 微码更新至 20191112,解决了 CVE-2017-5715、CVE-2019-0117、CVE-2019-11135、CVE-2019-11139(#1764049、#1764062、#1764953、

 - 添加 06-a6-00/0x80 (CML-U 6+2 A0) 微码修订版 0xc6

- 添加 06-66-03/0x80 (CNL-U D0) 微码修订版 0x2a

- 添加 06-55-03/0x97 (SKL-SP B1) 微码修订版 0x1000150

- 添加 06-7e-05/0x80 (ICL-U/Y D1) 微码修订版 0x46

- 将 06-4e-03/0xc0 (SKL-U/Y D0) 微码从修订版 0xcc 更新至 0xd4

- 将 06-5e-03/0x36 (SKL-H/S/Xeon E3 R0/N0) 微码从修订版 0xcc 更新至 0xd4

 - 将 06-8e-09/0x10 (AML-Y 2+2 H0) 微码从修订版 0xb4 更新至 0xc6

- 将 06-8e-09/0xc0 (KBL-U/Y H0) 微码从修订版 0xb4 更新至 0xc6

- 将 06-8e-0a/0xc0 (CFL-U 4+3e D0) 微码从修订版 0xb4 更新至 0xc6

- 将 06-8e-0b/0xd0 (WHL-U W0) 微码从修订版 0xb8 更新至 0xc6

- 将 06-8e-0c/0x94 (AML-Y V0) 微码从修订版 0xb8 更新至 0xc6

- 将 06-8e-0c/0x94 (CML-U 4+2 V0) 微码从修订版 0xb8 更新至 0xc6

- 将 06-8e-0c/0x94 (WHL-U V0) 微码从修订版 0xb8 更新至 0xc6

- 将 06-9e-09/0x2a (KBL-G/X H0) 微码从修订版 0xb4 更新至 0xc6

- 将 06-9e-09/0x2a (KBL-H/S/Xeon E3 B0) 微码从修订版 0xb4 更新至 0xc6

- 将 06-9e-0a/0x22 (CFL-H/S/Xeon E U0) 微码从修订版 0xb4 更新至 0xc6

- 将 06-9e-0b/0x02 (CFL-S B0) 微码从修订版 0xb4 更新至 0xc6

- 将 06-9e-0d/0x22 (CFL-H R0) 微码从修订版 0xb8 更新至 0xc6。

 - 不将 06-2d-07 (SNB-E/EN/EP) 更新至修订版 0x718,默认使用 0x714 (#1758382)。

 - 恢复更严格的模型检查代码,因为它需要基于 request_firmware 的微码加载机制并使用警告来中断微码的启用。

 - Intel CPU 微码更新至 20190918 (#1753540)。

 - Intel CPU 微码更新至 20190618 (#1717238)。

 - 删除免责声明,因为就目前而言,确认 kmsg/log 污染并不是最重要的事;README.caveats 中部分采用了其内容。

 - Intel CPU 微码更新至 20190514a (#1711938)。

 - Intel CPU 微码更新至 20190507_Public_DEMO (#1697960)。

 - Intel CPU 微码更新至 20190312 (#1697960)。

 - 修复 %post 脚本中的免责声明路径。

 - 修复免责声明文件的安装路径。

 - 添加 README.caveats 文档文件。

 - 使用 RHEL 7 程序包中的 check_caveats 来支持替代。

 - 在配置中禁用 06-4f-01 微码 (#1622180)。

 - Intel CPU 微码更新至 20180807a (#1614427)。

 - 向 reload_microcode 中添加最低微码版本检查。

 - Intel CPU 微码更新至 20180807。

 - 解决:#1614427。

 - Intel CPU 微码更新至 20180703

 - 添加用于处理 kernel-version-dependant 微码的基础架构

 - 解决: #1574593

 - Intel CPU 微码更新至 20180613。

 - 解决: #1573451

 - 将 AMD 微码更新至 2018-05-24

 - 解决: #1584192

 - 更新 AMD 微码

 - 解决: #1574591

 - 更新免责声明文本

 - 解决: #1574588

 - Intel CPU 微码更新至 20180425。

 - 解决: #1574588

 - 从 Intel 和 AMD 恢复微代码,用于边信道攻击

 - 解决: #1533941

 - 将微码数据文件更新至 20180108 修订版。

 - 解决: #1527354

 - 更新 06-3f-02、06-4f-01 和 06-55-04 的 Intel CPU 微码

 - 添加 amd microcode_amd_fam17h.bin 数据文件

 - 解决: #1527354

 - 将微码数据文件更新至 20170707 修订版。

 - 解决: #1465143

 - 将 microcode_amd_fam15h.bin 恢复为来自以下对象的版本: amd-ucode-2012-09-10

 - 解决: #1322525

 - 将微码数据文件更新至 20161104 修订版。

 - 为 E5-26xxv4 添加变通方案

 - 解决: #1346045

 - 将微码数据文件更新至 20160714 修订版。

 - 解决: #1346045

 - 将 AMD 微码数据文件更新至 amd-ucode-2013-11-07

 - 解决: #1322525

 - 将微码数据文件更新至 20151106 修订版。

 - 解决: #1244968

 - 删除 /lib/udev/rules.d/89-microcode.rules 上的错误文件权限

 - 解决: #1201276

 - 将微码数据文件更新至 20150121 修订版。

 - 解决: #1123992

 - 将微码数据文件更新至 20140624 修订版。

 - 解决: #1113394

 - 将微码数据文件更新至 20140430 修订版。

 - 解决: #1036240

解决方案

Update the affected microcode_ctl package.

另见

https://oss.oracle.com/pipermail/oraclevm-errata/2020-June/000988.html

https://oss.oracle.com/pipermail/oraclevm-errata/2020-June/000986.html

插件详情

严重性: Medium

ID: 137739

文件名: oraclevm_OVMSA-2020-0026.nasl

版本: 1.5

类型: local

发布时间: 2020/6/23

最近更新时间: 2022/5/16

风险信息

VPR

风险因素: High

分数: 7.6

CVSS v2

风险因素: Low

基本分数: 2.1

时间分数: 1.8

矢量: AV:L/AC:L/Au:N/C:P/I:N/A:N

时间矢量: E:H/RL:OF/RC:C

CVSS 分数来源: CVE-2020-0549

CVSS v3

风险因素: Medium

基本分数: 6.5

时间分数: 6.2

矢量: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N

时间矢量: E:H/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:oracle:vm:microcode_ctl, cpe:/o:oracle:vm_server:3.3, cpe:/o:oracle:vm_server:3.4

必需的 KB 项: Host/local_checks_enabled, Host/OracleVM/release, Host/OracleVM/rpm-list

可利用: true

易利用性: Exploits are available

补丁发布日期: 2020/6/22

漏洞发布日期: 2018/1/4

参考资料信息

CVE: CVE-2017-5715, CVE-2019-0117, CVE-2019-11135, CVE-2019-11139, CVE-2020-0543, CVE-2020-0548, CVE-2020-0549