検出

RHEL 7:qemu-kvm-rhev(RHSA-2018:1369)

high Nessus プラグイン ID 109755

Language:

概要

リモートのRed Hatホストに1つ以上のセキュリティ更新プログラムがありません。

説明

qemu-kvm-rhevの更新プログラムが、Red Hat Enterprise Linux 7のRed Hat Virtualization 4で利用可能になりました。Red Hat製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度中として評価しています。詳細な重要度評価を示すCVSS(共通脆弱性評価システム)ベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに入手できます。KVM(カーネルベース仮想マシン)は、さまざまなアーキテクチャのLinux向けの完全な仮想化ソリューションです。qemu-kvm-rhevパッケージは、Red Hat製品が管理する環境において、KVMを使用する仮想マシンを実行するユーザー空間コンポーネントを提供します。セキュリティ修正プログラム:*QEMU:i386:カーネルイメージを読み込むときのマルチブートOOBアクセス(CVE-2018-7550)*QEMU:cirrus:VGA表示の更新時のOOBアクセス(CVE-2018-7858)影響、CVSSスコア、その他の関連情報を含むセキュリティの問題の詳細については、「参照」セクションに記載されているCVEのページを参照してください。Red Hatは、CVE-2018-7550を報告してくれたCyrille Chatras氏(Orange.com)とCERT-CC(Orange.com)、CVE-2018-7858を報告してくれたRoss Lagerwall氏(Citrix.com)に感謝の意を表します。バグ修正プログラム:*特定のRed Hat Virtualization(RHV)のゲスト構成では、仮想のパススルーデバイスが適切に削除できませんでした。QEMUエミュレータのリファレンスカウントリークが削除され、影響を受けるデバイスが確実に削除されるようになりました。(BZ#1555213)以前は、「--preallocation=full」オプションを使用するrawディスクイメージのサイズを変更できない場合がありました。この問題は修正され、発生しなくなりました。(BZ#1566587)*virtio-blkとirtio-scsiのサービスにおける競合状態により、シャットダウン時にQEMUエミュレータが予期せず終了することがありました。競合状態が解消され、QEMUは正常に終了するようになりました。(BZ#1566586)*この更新より前は、不適切なimage-seekingアルゴリズムにより、RHV GUIを使用するゲストのスナップショットを削除できない場合がありました。この更新により基礎となるコードが修正され、RHVのゲストのスナップショットが適切に削除できるようになりました。(BZ#1566369)

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://access.redhat.com/errata/RHSA-2018:1369

https://bugzilla.redhat.com/show_bug.cgi?id=1549798

https://bugzilla.redhat.com/show_bug.cgi?id=1553402

https://access.redhat.com/security/updates/classification/#moderate

http://www.nessus.org/u?69f33dc9

https://bugzilla.redhat.com/show_bug.cgi?id=1555213

https://bugzilla.redhat.com/show_bug.cgi?id=1566369

https://bugzilla.redhat.com/show_bug.cgi?id=1566586

https://bugzilla.redhat.com/show_bug.cgi?id=1566587

プラグインの詳細

深刻度: High

ID: 109755

ファイル名: redhat-RHSA-2018-1369.nasl

バージョン: 1.8

タイプ: local

エージェント: unix

公開日: 2018/5/14

更新日: 2024/4/27

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7.3

CVSS v2

リスクファクター: Medium

基本値: 4.6

現状値: 3.4

ベクトル: CVSS2#AV:L/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2018-7550

CVSS v3

リスクファクター: High

基本値: 8.8

現状値: 7.7

ベクトル: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:qemu-img-rhev, p-cpe:/a:redhat:enterprise_linux:qemu-kvm-common-rhev, p-cpe:/a:redhat:enterprise_linux:qemu-kvm-rhev, p-cpe:/a:redhat:enterprise_linux:qemu-kvm-tools-rhev, cpe:/o:redhat:enterprise_linux:7

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

パッチ公開日: 2018/5/10

脆弱性公開日: 2018/3/1

参照情報

CVE: CVE-2018-7550, CVE-2018-7858

CWE: 125, 787

RHSA: 2018:1369