openSUSE 安全更新:xen (openSUSE-SU-2014:0483-1)

high Nessus 插件 ID 75312

简介

远程 openSUSE 主机缺少安全更新。

描述

XEN 已更新,修复了多种缺陷和安全问题:

更新到 Xen 版本 4.2.4 c/s 26280。

- bnc#861256 - CVE-2014-1950:xen:XSA-88:内存压力下 xc_cpupool_getinfo() 中的释放后使用。(更新中包含补丁)

- bnc#863297:xend/pvscsi:也识别 SCSI CDROM 设备

- bnc#858496 - CVE-2014-1642:Xen:XSA-83:内存不足情况导致 IRQ 设置期间的内存损坏

- bnc#860163 - xen:XSA-84:多个 XSM/Flask 超级调用中的整数溢出 (CVE-2014-1891 CVE-2014-1892 CVE-2014-1893 CVE-2014-1894)

- bnc#860165 - CVE-2014-1895:xen:XSA-85:FLASK_AVC_CACHESTAT 超级调用中的差一错误

- bnc#860300 - CVE-2014-1896:xen:XSA-86:处理恶意环索引时 libvchan 发生故障

- bnc#860302 - CVE-2014-1666:xen:XSA-87:PHYSDEVOP_{prepare,release}_msix 暴露于非特权用户

- bnc#858311 - 安装最新更新之后服务器在内核 XEN 中不引导 - (XEN) 为 d0 设置 0000:00:18.0 失败 (-19)

- bnc#858496 - CVE-2014-1642:Xen:XSA-83:内存不足情况导致 IRQ 设置期间的内存损坏

- bnc#853049 - CVE-2013-6885:xen:XSA-82:客户机可触发的 AMD CPU 勘误表可能导致主机挂起

- bnc#853048 - CVE-2013-6400:xen:XSA-80:IOMMU TLB 刷新可能被无意抑制

- bnc#831120 - CVE-2013-2212:xen:XSA-60:禁用具有 PCI 透传的 HVM 客户机的缓存消耗过多时间

- bnc#848014 - [HP HPS] Xen 管理程序在带 64 位内存寻址的 8 刀片 nPar 上出现错误

- bnc#833251 - [HP BCS SLES11 Bug]:在 HP UEFI x86_64 平台和 xen 环境中,xen 管理程序将在引导阶段发生混乱。

- pygrub:支持 (/dev/xvda) 样式磁盘规格

- bnc#849667 - CVE-2014-1895:xen:XSA-74:page_alloc_lock 与 mm_rwlock 之间的锁定逆序

- bnc#849668 - CVE-2013-4554:xen:XSA-76:超级调用暴露给 HVM 客户机的权限环 1 和 2

- bnc#842417 - 在 HP UEFI x86_64 平台和具有 xen 环境的 sles11sp3 中,dom0 将在多种刀片 nPar 上软锁定。

- bnc#848014 - [HP HPS] Xen 管理程序在带 64 位内存寻址的 8 刀片 nPar 上出现错误

- bnc#846849 - PCI 透传和许多 VCPU 的软锁定

- bnc#833483 - UEFI 模式下 xen 内核引导失败,并发生错误“No memory for trampoline”

- bnc#849665 - CVE-2013-4551:xen:XSA-75:主机因访客 VMX 指令执行而崩溃

- 使用“xl”命令时针对 xend 的上游版本检查现在不起作用。

- bnc#840997 - 可在同一节点上两次启动某个 VM。

- bnc#848657 - xen:CVE-2013-4494:XSA-73:页面分配与授权表锁定之间的锁定逆序

解决方案

更新受影响的 xen 程序包。

另见

https://bugzilla.novell.com/show_bug.cgi?id=831120

https://bugzilla.novell.com/show_bug.cgi?id=833251

https://bugzilla.novell.com/show_bug.cgi?id=833483

https://bugzilla.novell.com/show_bug.cgi?id=840997

https://bugzilla.novell.com/show_bug.cgi?id=842417

https://bugzilla.novell.com/show_bug.cgi?id=846849

https://bugzilla.novell.com/show_bug.cgi?id=848014

https://bugzilla.novell.com/show_bug.cgi?id=848657

https://bugzilla.novell.com/show_bug.cgi?id=849665

https://bugzilla.novell.com/show_bug.cgi?id=849667

https://bugzilla.novell.com/show_bug.cgi?id=849668

https://bugzilla.novell.com/show_bug.cgi?id=853048

https://bugzilla.novell.com/show_bug.cgi?id=853049

https://bugzilla.novell.com/show_bug.cgi?id=858311

https://bugzilla.novell.com/show_bug.cgi?id=858496

https://bugzilla.novell.com/show_bug.cgi?id=860163

https://bugzilla.novell.com/show_bug.cgi?id=860165

https://bugzilla.novell.com/show_bug.cgi?id=860300

https://bugzilla.novell.com/show_bug.cgi?id=860302

https://bugzilla.novell.com/show_bug.cgi?id=861256

https://bugzilla.novell.com/show_bug.cgi?id=863297

https://lists.opensuse.org/opensuse-updates/2014-04/msg00010.html

插件详情

严重性: High

ID: 75312

文件名: openSUSE-2014-271.nasl

版本: 1.5

类型: local

代理: unix

发布时间: 2014/6/13

最近更新时间: 2021/1/19

支持的传感器: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.0

CVSS v2

风险因素: High

基本分数: 8.3

时间分数: 7.2

矢量: CVSS2#AV:A/AC:L/Au:N/C:C/I:C/A:C

漏洞信息

CPE: p-cpe:/a:novell:opensuse:xen, p-cpe:/a:novell:opensuse:xen-debugsource, p-cpe:/a:novell:opensuse:xen-devel, p-cpe:/a:novell:opensuse:xen-doc-html, p-cpe:/a:novell:opensuse:xen-doc-pdf, p-cpe:/a:novell:opensuse:xen-kmp-default, p-cpe:/a:novell:opensuse:xen-kmp-default-debuginfo, p-cpe:/a:novell:opensuse:xen-kmp-desktop, p-cpe:/a:novell:opensuse:xen-kmp-desktop-debuginfo, p-cpe:/a:novell:opensuse:xen-kmp-pae, p-cpe:/a:novell:opensuse:xen-kmp-pae-debuginfo, p-cpe:/a:novell:opensuse:xen-libs, p-cpe:/a:novell:opensuse:xen-libs-32bit, p-cpe:/a:novell:opensuse:xen-libs-debuginfo, p-cpe:/a:novell:opensuse:xen-libs-debuginfo-32bit, p-cpe:/a:novell:opensuse:xen-tools, p-cpe:/a:novell:opensuse:xen-tools-debuginfo, p-cpe:/a:novell:opensuse:xen-tools-domu, p-cpe:/a:novell:opensuse:xen-tools-domu-debuginfo, cpe:/o:novell:opensuse:12.3

必需的 KB 项: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

易利用性: No known exploits are available

补丁发布日期: 2014/2/26

漏洞发布日期: 2013/8/28

参考资料信息

CVE: CVE-2013-2212, CVE-2013-4494, CVE-2013-4551, CVE-2013-4553, CVE-2013-4554, CVE-2013-6400, CVE-2013-6885, CVE-2014-1642, CVE-2014-1666, CVE-2014-1891, CVE-2014-1892, CVE-2014-1893, CVE-2014-1894, CVE-2014-1895, CVE-2014-1896, CVE-2014-1950

BID: 61424, 63494, 63625, 63931, 63933, 63983, 64195, 65097, 65125, 65414, 65419, 65424, 65529