OracleVM 3.4:Unbreakable/etc(OVMSA-2018-0033)

high Nessus プラグイン ID 109114

概要

リモートのOracleVMホストに1つ以上のセキュリティ更新プログラムがありません。

説明

リモートのOracleVMシステムには、重大なセキュリティ更新に対処するために必要なパッチがありません:- mlx4:ICMテーブル割り当てを必要最小限のサイズに変更(Daniel Jurgens)[Orabug:27718305] - autofs:期限切れの間、歩行をブロックするためにdentryフラグを使用する(Ian Kent)- autofs競合(Al Viro)[Orabug:27766149][Orabug:27766149] - crypto:FIPS - FIPSモードでテストを無効にする(Stephan Mueller)[Orabug:26182706] - crypto:rng - crypto_rng_resetのゼロシード(Herbert Xu)[Orabug:26182706] - crypto:xts - キーの健全性チェックを統合する(Stephan Mueller)- fork:->exe_fileのfputにより発生するuse-after-freeを修正(Eric Biggers)[Orabug:27290198](CVE-2017-17052)- xen-blkfrontにより検出される新しいVBDのすべてのケースでnegotiate_mqが発生します。これは、_probeまたはxenstore経由のdom-0からホットアタッチされた新しいVBD経由で呼び出された場合でも起こります。それ以外の場合、ホットアタッチされた新しいVBDは、マルチキューなしで構成されたままになります。(Patrick Colp)[Orabug:27383895] - rds:__rds_rdma_mapのNULLポインターデリファレンスを修正(Hå kon Bugge)- nvme:少量の転送で初期化されていないprp2値を修正する(Jan H. Schö nherr)[Orabug:27581008] - xen-netfront:初期化中のエラー処理を改善(Ross Lagerwall)[Orabug:27655820] - RDS:IB:NULLポインターの問題を修正(Guanglei Li)[Orabug:27636704] - mstflint:MakefileおよびKconfigを更新(Qing Huang)[Orabug:27656465] - target:inquiry_productモジュールパラメーターを追加してLIOデフォルトを上書きする(Kyle Fortin)[Orabug:27679482] - target:inquiry_vendorモジュールパラメーターを追加してLIO-ORGを上書きする(Kyle Fortin)[Orabug:27679482] - net/rds:送信バッファが満杯になる場合にコピーオーバーヘッドを避ける(Gerd Rausch)- IB/core:ib_query_device呼び出しを回避(Or Gerlitz)[Orabug:27687710] - IB/core:デバイス属性をデバイス構造に保存する(Ira Weiny)[Orabug:27687710] - KVM:x86:システムコール上のsinglestepingを修正(Paolo Bonzini)[Orabug:27669907](CVE-2017-7518)(CVE-2017-7518)- xen/acpi:non-dom0 CPUの_PSD情報も更新する(Joao Martins)- 「RDS:トランスポート接続が確立するまでキューに入れない」を元に戻す(Santosh Shilimkar)

ソリューション

影響を受けるkernel-uek/kernel-uek-firmwareパッケージを更新してください。

参考資料

http://www.nessus.org/u?ca78dd73

プラグインの詳細

深刻度: High

ID: 109114

ファイル名: oraclevm_OVMSA-2018-0033.nasl

バージョン: 1.4

タイプ: local

公開日: 2018/4/18

更新日: 2019/9/27

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

Base Score: 7.2

Temporal Score: 5.3

ベクトル: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C

CVSS v3

リスクファクター: High

Base Score: 7.8

Temporal Score: 6.8

ベクトル: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:oracle:vm:kernel-uek, p-cpe:/a:oracle:vm:kernel-uek-firmware, cpe:/o:oracle:vm_server:3.4

必要な KB アイテム: Host/local_checks_enabled, Host/OracleVM/release, Host/OracleVM/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2018/4/17

脆弱性公開日: 2017/11/29

参照情報

CVE: CVE-2017-17052, CVE-2017-7518