OracleVM 3.2:dhcp (OVMSA-2016-0058)
high Nessus 插件 ID 91742
语言:
简介
远程 OracleVM 主机缺少安全更新。描述
远程 OracleVM 系统缺少必要修补程序来解决关键安全更新:- 当 dhclient 以“-1”为开头时,发送 DHCPDECLINE 之后的 exit(2) (RHBZ #756490)
- 对畸形客户端标识符的处理中存在一个错误,可在受影响服务器中造成拒绝服务情况。(CVE-2012-3571,#843125)
- 将 libdhcp 超时传播至内部 timeout_arg (RHBZ #736515)
- 导致服务器在处理特定数据包时停止的一对缺陷(CVE-2011-2748、CVE-2011-2749、#729881)
- dhclient.conf(5)、dhclient(8) 提及默认也请求 interface-mtu 选项 (RHBZ #694264)
- 更好的 CVE-2011-0997 补丁:使域名检查更宽松 (RHBZ #690577)
- dhclient 默认请求 interface-mtu 选项 (RHBZ #694264)
- dhclient.conf(5) 补丁 (RHBZ #585855)
- 使 dhcpd init 脚本符合 LSB (RHBZ #610128)
- 使用 PID 在 dhclient 中植入随机数发生器 (RHBZ #623953)
- 添加 DHCRELAYARGS 变量至 /etc/sysconfig/dhcrelay (RHBZ #624965)
- 除非实际尝试重新平衡,否则不会记录“租用不平衡”消息 (RHBZ #661939)
- 明确清除 ARP 缓存并刷新所有地址和路由,而非关闭界面 (RHBZ #685048)
- IPoIB 支持 (RHBZ #660679)
- dhclient:未充分审查某些 DHCP 响应值(CVE-2011-0997、#690577)
- 如果 partner-down 故障转移服务器能够重新分配对等机的租用其中之一,就不会再发出“对等机保留所有免费租用”。(RHBZ #610219)
- 现在已根据首选项排序服务器的“按客户端 ID”和“按硬件地址”哈希表列表,以便将该租用重新分配给返回的客户端。这应该会消除当“INIT”客户端被给予新租用而非目前有效的租用时所造成的池耗尽问题。(RHBZ #615995)
解决方案
更新受影响的 dhclient 程序包。另见
https://oss.oracle.com/pipermail/oraclevm-errata/2016-June/000486.html
插件详情
严重性: High
ID: 91742
文件名: oraclevm_OVMSA-2016-0058.nasl
版本: 2.7
类型: local
发布时间: 2016/6/22
最近更新时间: 2021/1/4
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 5.1
CVSS v2
风险因素: High
基本分数: 7.8
时间分数: 6.4
矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C
漏洞信息
CPE: p-cpe:/a:oracle:vm:dhclient, cpe:/o:oracle:vm_server:3.2
必需的 KB 项: Host/local_checks_enabled, Host/OracleVM/release, Host/OracleVM/rpm-list
可利用: true
易利用性: Exploits are available
补丁发布日期: 2016/6/21
漏洞发布日期: 2011/4/8
可利用的方式
CANVAS (CANVAS)
参考资料信息
CVE: CVE-2011-0997, CVE-2011-2748, CVE-2011-2749, CVE-2012-3571