検出

OracleVM 3.2/3.3/3.4:xen(OVMSA-2017-0162)

critical Nessus プラグイン ID 104201

Language:

概要

リモートのOracleVMホストに1つ以上のセキュリティ更新プログラムがありません。

説明

リモートのOracleVMシステムには、重大なセキュリティ更新に対処するために必要なパッチがありません:- BUILDINFO:OVMFコミット=173bf5c847e3ca8b42c11796ce048d8e2e916ff8 - BUILDINFO:xenコミット=41067cbb7a1ecab6aa2ca0d8d40a4c9f36c5e76e - BUILDINFO:QEMUアップストリームコミット=8bff6989bd0bafcc0ddf859c23ce6a2ff21a80ff - BUILDINFO:QEMU従来コミット=346fdd7edd73f8287d0d0a2bab9c67b71bc6b8ba - BUILDINFO:IPXEコミット=9a93db3f0947484e30e753bbd61a10b17336e20e - BUILDINFO:SeaBIOSコミット=7d9cbe613694924921ed1a6f8947d711c5832eee - x86/cpu:PCPU bringupの間のIST処理を修正(Andrew Cooper)[Orabug:26901421](CVE-2017-15594)- x86/shadow:4レベルの変換ゲストに対し自己線形シャドウを作成しない(Andrew Cooper)[Orabug:26901413](CVE-2017-15592)- x86:自動変換PVゲストの使用を無効化(Andrew Cooper)[Orabug:26901413](CVE-2017-15592)- x86:page_unlockが最後のタイプ参照をドロップすることを許可(Jan Beulich)[Orabug:26901401](CVE-2017-15593)- x86:古くなった可能性のあるTLBフラッシュタイムスタンプを保管しない(Jan Beulich)[Orabug:26901391](CVE-2017-15588)- x86/mm:デフォルトでPV線形pagetableを無効化(George Dunlap)[Orabug:26901363](CVE-2017-15595)- x86:線形ページテーブルの使用を1つのレベルに限定(Jan Beulich)[Orabug:26901363](CVE-2017-15595)- x86/HVM:エミュレーションパスで一部使用された変数をプレフィルする(Jan Beulich)[Orabug:26901338](CVE-2017-15589)- x86/FLASK:unmap-domain-IRQのXSMフックを修正(Jan Beulich)[Orabug:26901311](CVE-2017-15590)- x86/IRQ:マップエラーパスでirq <-> pirqのマッピングを条件付きで保存(Jan Beulich)[Orabug:26901311](CVE-2017-15590)- x86/MSI:冗長な有効化を許可しない(Jan Beulich)[Orabug:26901311](CVE-2017-15590)- x86:pIRQ-sのマッピング(解除)時に適切な権限を強制(Jan Beulich)[Orabug:26901311](CVE-2017-15590)- x86:所有していないデバイスでMSI pIRQマッピングを許可しない(Jan Beulich)[Orabug:26901311](CVE-2017-15590)- gnttab:ピンカウント/ページ参照の競合を修正(Jan Beulich)[Orabug:26901277](CVE-2017-15597)

ソリューション

影響を受けるxen/xen-devel/xen-toolsパッケージを更新してください。

参考資料

http://www.nessus.org/u?148c4cad

http://www.nessus.org/u?5c58c23c

http://www.nessus.org/u?47e18437

プラグインの詳細

深刻度: Critical

ID: 104201

ファイル名: oraclevm_OVMSA-2017-0162.nasl

バージョン: 3.9

タイプ: local

公開日: 2017/10/27

更新日: 2021/1/4

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7.3

CVSS v2

リスクファクター: High

基本値: 9

現状値: 7

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C

CVSS v3

リスクファクター: Critical

基本値: 9.1

現状値: 8.2

ベクトル: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:oracle:vm:xen, p-cpe:/a:oracle:vm:xen-devel, p-cpe:/a:oracle:vm:xen-tools, cpe:/o:oracle:vm_server:3.2, cpe:/o:oracle:vm_server:3.3, cpe:/o:oracle:vm_server:3.4

必要な KB アイテム: Host/local_checks_enabled, Host/OracleVM/release, Host/OracleVM/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2017/10/26

脆弱性公開日: 2017/10/18

参照情報

CVE: CVE-2017-15588, CVE-2017-15589, CVE-2017-15590, CVE-2017-15592, CVE-2017-15593, CVE-2017-15594, CVE-2017-15595, CVE-2017-15597