OracleVM 3.4:xen (OVMSA-2022-0004)

high Nessus 插件 ID 156597

简介

远程 OracleVM 主机缺少一个或多个安全更新。

描述

远程 OracleVM 系统缺少解决关键安全更新的必要补丁:

- x86 T 上部分成功的 P2M 更新问题[他的 CNA 信息记录与多个 CVE 有关;
文本说明了哪些方面/漏洞对应于哪些 CVE。] x86 HVM 和 PVH 客户机上,可以 populate-on-demand (PoD) 模式启动 PoD 操作,以便为以后轻松分配更多内存提供方法。允许访客通过超级调用控制单个页面的某些 P2M 方面。这些超级调用可作用于通过页面顺序指定的页面范围(导致页面的幂次方)。在某些情况下,管理程序通过将请求拆分为更小的块来执行请求。某些 PoD 情况下的错误处理不充分,特别是未正确考虑某些操作未完全成功执行的情况。有两个受影响的代码路径:页面删除 (CVE-2021-28705) 和新页面的插入 (CVE-2021-28709)。(我们提供一个修补程序,结合了这两个问题的补丁。)(CVE-2021-28705, CVE-2021-28709)

- 来宾机可能超出其指定的内存限制当来宾机获准使用接近 16TiB 的内存时,它可能会发出超级调用以将其内存分配增加到管理员建立的限制之外。这是以 32 位精度完成的计算结果,有可能会发生溢出。但之后只会将溢出的数字(因此很小)与已建立的上限进行比较。(CVE-2021-28706)

请注意,Nessus 尚未测试此问题,而是只依靠应用程序自我报告的版本号来判断。

解决方案

更新受影响的 xen/xen-tools 程序包。

另见

https://linux.oracle.com/errata/OVMSA-2022-0004.html

插件详情

严重性: High

ID: 156597

文件名: oraclevm_OVMSA-2022-0004.nasl

版本: 1.3

类型: local

发布时间: 2022/1/11

最近更新时间: 2022/1/26

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: Medium

基本分数: 6.9

时间分数: 5.1

矢量: AV:L/AC:M/Au:N/C:C/I:C/A:C

时间矢量: E:U/RL:OF/RC:C

CVSS 分数来源: CVE-2021-28709

CVSS v3

风险因素: High

基本分数: 7.8

时间分数: 6.8

矢量: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

时间矢量: E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:oracle:vm:xen, p-cpe:/a:oracle:vm:xen-tools, cpe:/o:oracle:vm_server:3.4

必需的 KB 项: Host/local_checks_enabled, Host/OracleVM/release, Host/OracleVM/rpm-list

易利用性: No known exploits are available

补丁发布日期: 2022/1/7

漏洞发布日期: 2021/11/24

参考资料信息

CVE: CVE-2021-28705, CVE-2021-28706, CVE-2021-28709