OracleVM 3.4:Unbreakable / 等 (OVMSA-2020-0041)

medium Nessus 插件 ID 140361
全新!插件严重性现在使用 CVSS v3

计算的插件严重性默认已更新为使用 CVSS v3。没有 CVSS v3 分数的插件将回退到 CVSS v2 来计算严重性。可以在设置下拉列表中切换严重性显示首选项。

简介

The remote OracleVM host is missing one or more security updates.

描述

远程 OracleVM 系统缺少解决关键安全更新的必要补丁:

- can:peak_usb:pcan_usb_fd:修复向 USB 设备泄漏信息的问题 (Tomas Bortoli) [Orabug: 31351221] (CVE-2019-19535)

- media:hdpvr:修复处理 hdpvr_probe 中的路径时发生的错误 (Arvind Yadav) [Orabug: 31352053] (CVE-2017-16644)

- fs/binfmt_misc.c:不允许偏移溢出 (Thadeu Lima de Souza Cascardo) [Orabug: 31588258] - 在排队等待异步停用之前清除 inode 并截断页面 (Gautham Ananthakrishna) [Orabug: 31744270]

- mm:创建 alloc_last_chance debugfs 条目 (Mike Kravetz) [Orabug: 31295499] - mm:在分配失败之前执行“最后机会”回收努力 (Mike Kravetz) [Orabug: 31295499] - mm:让页面分配慢速路径重试“排序”次数 (Mike Kravetz) [Orabug: 31295499] - 修复来自“netns:为 net_hash_mix 提供纯熵”的 kABI 中断 (Dan Duval) [Orabug: 31351904] (CVE-2019-10638) (CVE-2019-10639)

- netns:为 net_hash_mix 提供纯熵 (Eric Dumazet) [Orabug: 31351904] (CVE-2019-10638) (CVE-2019-10639)

- hrtimer:为对 timer->base 的无锁访问添加批注 (Eric Dumazet) [Orabug: 31380495] - rds:ib:恢复“net/rds:
避免 CM REQ 重试造成连接停止”(H&aring kon Bugge) [Orabug: 31648141] - rds:清除重新连接待定位 (H&aring kon Bugge) [Orabug:
31648141] - RDMA/netlink:不始终为一些 netlink 操作生成 ACK (H&aring kon Bugge) [Orabug:
31666975] - genirq/proc:在 irq_set_affinity 失败时返回正确的错误代码 (Wen Yaxng) [Orabug: 31723450]

- fs/binfmt_elf.c:在 fill_thread_core_info 中分配初始化内存 (Alexander Potapenko) [Orabug:
31350639] (CVE-2020-10732)

- crypto:用户 - 修复 crypto_report 中的内存泄漏问题 (Navid Emamdoost) [Orabug: 31351640] (CVE-2019-19062)

- of:unittest:修复 unittest_data_add 中的内存泄漏问题 (Navid Emamdoost) [Orabug: 31351702] (CVE-2019-19049)

- IB/sa:解决 ib_nl_make_request 中的释放后使用漏洞 (Divya Indi) [Orabug: 31656992]-net-sysfs:当 kobject_init_and_add 成功时调用 dev_hold (YueHaibing) [Orabug: 31687545] (CVE-2019-20811)

解决方案

Update the affected kernel-uek / kernel-uek-firmware packages.

另见

http://www.nessus.org/u?566c17a8

插件详情

严重性: Medium

ID: 140361

文件名: oraclevm_OVMSA-2020-0041.nasl

版本: 1.2

类型: local

发布时间: 2020/9/8

最近更新时间: 2020/9/10

依存关系: ssh_get_info.nasl

风险信息

CVSS 分数来源: CVE-2017-16644

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: High

基本分数: 7.2

时间分数: 5.3

矢量: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C

时间矢量: CVSS2#E:U/RL:OF/RC:C

CVSS v3

风险因素: Medium

基本分数: 6.6

时间分数: 5.8

矢量: CVSS:3.0/AV:P/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: cpe:2.3:o:oracle:vm_server:3.4:*:*:*:*:*:*:*, p-cpe:2.3:a:oracle:vm:kernel-uek:*:*:*:*:*:*:*, p-cpe:2.3:a:oracle:vm:kernel-uek-firmware:*:*:*:*:*:*:*

必需的 KB 项: Host/local_checks_enabled, Host/OracleVM/release, Host/OracleVM/rpm-list

易利用性: No known exploits are available

补丁发布日期: 2020/9/4

漏洞发布日期: 2017/11/7

参考资料信息

CVE: CVE-2017-16644, CVE-2019-10638, CVE-2019-10639, CVE-2019-19049, CVE-2019-19062, CVE-2019-19535, CVE-2019-20811, CVE-2020-10732