OracleVM 2.2:xen (OVMSA-2013-0074)
high Nessus 插件 ID 79521
语言:
简介
远程 OracleVM 主机缺少一个或多个安全更新。描述
远程 OracleVM 系统缺少必要修补程序来解决关键安全更新:- x86:检查 64 位 OUTS 仿真 XSA-67 中的段描述符读取结果 (Matthew Daley) [orabug 17571640] (CVE-2013-4368)
- x86:正确设置 fbld 仿真操作数地址 XSA-66 (Jan Beulich) [orabug 17472492] (CVE-2013-4361)
- x86:正确处理 hvm_copy_from_guest_[phys,virt] 错误 XSA-63 (Jan Beulich) [orabug 17472461] (CVE-2013-4355)
- libxc:builder:限制内核/ramdisk 的最大大小 (Ian Campbell) [orabug 15852491] (CVE-2012-4544)
- libxc:builder:修正对 CVE-2012-4544 的修复 (Ian Campbell) [orabug 15852491] (CVE-2012-4544)
- [PATCH 01/21] libelf:废弃 libelf-relocate.c (Ian Jackson) [orabug 16902308] (CVE-2013-2194 CVE-2013-2195 CVE-2013-2196)
- [PATCH 02/21] libxc:引入 xc_dom_seg_to_ptr_pages (Ian Jackson) [orabug 16902308] (CVE-2013-2194 CVE-2013-2195 CVE-2013-2196)
- [PATCH 03/21] libxc:修复 xc_dom_pfn_to_ptr 等中的范围检查。(Ian Jackson) [orabug 16902308] (CVE-2013-2194 CVE-2013-2195 CVE-2013-2196)
- [PATCH 04/21] libelf:废弃 elf_sval 和 elf_access_signed (Ian Jackson) [orabug 16902308] (CVE-2013-2194 CVE-2013-2195 CVE-2013-2196)
- [PATCH 05/21] libelf/xc_dom_load_elf_symtab:不使用未初始化的“syms” (Ian Jackson) [orabug 16902308] (CVE-2013-2194 CVE-2013-2195 CVE-2013-2196)
- [PATCH 06/21] libelf:引入内存访问和指针处理宏 (Ian Jackson) [orabug 16902308] (CVE-2013-2194 CVE-2013-2195 CVE-2013-2196)
- [PATCH 07/21] tools/xcutils/readnotes:调整 print_l1_mfn_valid_note (Ian Jackson) [orabug 16902308] (CVE-2013-2194 CVE-2013-2195 CVE-2013-2196)
- [PATCH 08/21] libelf:正确检查空终止的字符串 (Ian Jackson) [orabug 16902308] (CVE-2013-2194 CVE-2013-2195 CVE-2013-2196)
- [PATCH 09/21] libelf:检查所有指针访问 (Ian Jackson) [orabug 16902308] (CVE-2013-2194 CVE-2013-2195 CVE-2013-2196)
- [PATCH 10/21] libelf:检查 elf_is_elfbinary 中的指针引用 (Ian Jackson) [orabug 16902308] (CVE-2013-2194 CVE-2013-2195 CVE-2013-2196)
- [PATCH 11/21] libelf:使所有调用程序调用 elf_check_broken (Ian Jackson) [orabug 16902308] (CVE-2013-2194 CVE-2013-2195 CVE-2013-2196)
- [PATCH 12/21] libelf:将 C99 布尔型用于布尔运算 (Ian Jackson) [orabug 16902308] (CVE-2013-2194 CVE-2013-2195 CVE-2013-2196)
- [PATCH 13/21] libelf:仅使用无符号整数 (Ian Jackson) [orabug 16902308] (CVE-2013-2194 CVE-2013-2195 CVE-2013-2196)
- [PATCH 14/21] libxc:引入 xc_bitops.h (Ian Jackson) [orabug 16902308] (CVE-2013-2194 CVE-2013-2195 CVE-2013-2196)
- [PATCH 15/21] libelf:检查逃逸循环 (Ian Jackson) [orabug 16902308] (CVE-2013-2194 CVE-2013-2195 CVE-2013-2196)
- [PATCH 16/21] libelf:废弃过时宏 (Ian Jackson) [orabug 16902308] (CVE-2013-2194 CVE-2013-2195 CVE-2013-2196)
- [PATCH 17/21] libxc:将范围检查添加到 xc_dom_binloader (Ian Jackson) [orabug 16902308] (CVE-2013-2194 CVE-2013-2195 CVE-2013-2196)
- [PATCH 18/21] libxc:检查 xc_dom_*_to_ptr、xc_map_foreign_range 的失败 (Ian Jackson) [orabug 16902308] (CVE-2013-2194 CVE-2013-2195 CVE-2013-2196)
- [PATCH 19/21] libxc:检查 malloc 的返回值 (Ian Jackson) [orabug 16902308] (CVE-2013-2194 CVE-2013-2195 CVE-2013-2196)
- [PATCH 20/21] libxc:xc_dom_p2m_host 和
_guest 中的范围检查 (Ian Jackson) [orabug 16902308] (CVE-2013-2194 CVE-2013-2195 CVE-2013-2196)
- [PATCH 21/21] libxc:在 xc_dom_check_gzip 中进行处理之前检查 blob 大小 (Matthew Daley) [orabug 16902308] (CVE-2013-2194 CVE-2013-2195 CVE-2013-2196)
- libxc:为 XSA-55 补丁集定义 INVALID_MFN (Chuck Anderson) [orabug 16902308] (CVE-2013-2194 CVE-2013-2195 CVE-2013-2196)
- 修复页表 pin 错误路径中的页面 refcount 处理 (Andrew Cooper) [orabug 16949882] (CVE-2013-1432)
- 删除 CVE-2013-1919 (Chuck Anderson) [orabug 16635741] (CVE-2013-1919)
- x86:使 vcpu_destroy_pagetables 可抢占 (Jan Beulich) [orabug 16714903] (CVE-2013-1918)
- x86:使 new_guest_cr3 可抢占 (Jan Beulich) [orabug 16714903] (CVE-2013-1918)
- x86:使 MMUEXT_NEW_USER_BASEPTR 可抢占 (Jan Beulich) [orabug 16714903] (CVE-2013-1918)
- x86:使 vcpu_reset 可抢占 (Jan Beulich) [orabug 16714903] (CVE-2013-1918)
- x86:使 arch_set_info_guest 可抢占 (Jan Beulich) [orabug 16714903] (CVE-2013-1918)
- x86:使取消固定的页表可抢占 (Jan Beulich) [orabug 16714903] (CVE-2013-1918)
- x86:使处理错误路径的页表可抢占 (Jan Beulich) [orabug 16714903] (CVE-2013-1918)
解决方案
更新受影响的数据包。另见
插件详情
严重性: High
ID: 79521
文件名: oraclevm_OVMSA-2013-0074.nasl
版本: 1.5
类型: local
发布时间: 2014/11/26
最近更新时间: 2021/1/4
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 6.0
CVSS v2
风险因素: High
基本分数: 7.4
时间分数: 6.4
矢量: CVSS2#AV:A/AC:M/Au:S/C:C/I:C/A:C
漏洞信息
CPE: p-cpe:/a:oracle:vm:xen, p-cpe:/a:oracle:vm:xen-64, p-cpe:/a:oracle:vm:xen-debugger, p-cpe:/a:oracle:vm:xen-devel, p-cpe:/a:oracle:vm:xen-pvhvm-devel, p-cpe:/a:oracle:vm:xen-tools, cpe:/o:oracle:vm_server:2.2
必需的 KB 项: Host/local_checks_enabled, Host/OracleVM/release, Host/OracleVM/rpm-list
易利用性: No known exploits are available
补丁发布日期: 2013/10/16
漏洞发布日期: 2012/10/31
参考资料信息
CVE: CVE-2012-4544, CVE-2013-1432, CVE-2013-1918, CVE-2013-1919, CVE-2013-2194, CVE-2013-2195, CVE-2013-2196, CVE-2013-4355, CVE-2013-4361, CVE-2013-4368
BID: 56289, 59292, 59615, 60701, 60702, 60703, 60799, 62708, 62710, 62935