OracleVM 3.2:xen (OVMSA-2014-0001)
medium Nessus 插件 ID 79529
语言:
简介
远程 OracleVM 主机缺少一个或多个安全更新。描述
远程 OracleVM 系统缺少必要修补程序来解决关键安全更新:- flask:对由 4.2 和更高版本以外的超级调用界面完成的分配进行限制,此处不存在溢出问题,但不受控的暴露操作使任何访客均能够耗尽主机内存。由于除 FLASK_LOAD 以外的所有操作都只会处理 ASCII 字符串,因此将分配(以及传入缓冲区大小)限制为适当的页面内存似乎是最合适的。所以为保证不会将更大的分配暴露给任意访客,需要在分配之前对 FLASK_LOAD 进行权限检查(值得注意的是,迄今为止已通过保留 sel_sem 旋转锁定无意之中完成了上述操作)。请注意,这样做会在包含足够多的 CPU 的系统上中断 FLASK_AVC_CACHESTATS(因为需要比此处的 PAGE_SIZE 更大的缓冲区)。这里不会尝试处理此问题,因为不需要为如此小的收益来大幅提高此修复的复杂程度。这是 XSA-84。
FLASK_[GET,SET]BOOL 中布尔变量的索引并不总是会检查数组的边界。
18205362](CVE-2014-1892、CVE-2014-1893)
- libxc:修复 xc_cpupool_getinfo 中的内存不足错误处理避免在释放信息之后将其返回给调用程序。这是 XSA-88。Coverity-ID:1056192
18206135] [CVE-2014-XXXX]
解决方案
更新受影响的 xen/xen-devel/xen-tools 程序包。另见
插件详情
严重性: Medium
ID: 79529
文件名: oraclevm_OVMSA-2014-0001.nasl
版本: 1.5
类型: local
发布时间: 2014/11/26
最近更新时间: 2021/1/4
支持的传感器: Nessus
风险信息
VPR
风险因素: Low
分数: 3.6
CVSS v2
风险因素: Medium
基本分数: 5.2
时间分数: 4.5
矢量: CVSS2#AV:A/AC:M/Au:S/C:N/I:N/A:C
漏洞信息
CPE: p-cpe:/a:oracle:vm:xen, p-cpe:/a:oracle:vm:xen-devel, p-cpe:/a:oracle:vm:xen-tools, cpe:/o:oracle:vm_server:3.2
必需的 KB 项: Host/local_checks_enabled, Host/OracleVM/release, Host/OracleVM/rpm-list
易利用性: No known exploits are available
补丁发布日期: 2014/2/13
漏洞发布日期: 2014/4/1
参考资料信息
CVE: CVE-2014-1892, CVE-2014-1893
BID: 65419