OracleVM 3.4:Unbreakable/etc(OVMSA-2018-0236)

critical Nessus プラグイン ID 111021
New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモートのOracleVMホストに1つ以上のセキュリティ更新プログラムがありません。

説明

リモートのOracleVMシステムには、重大なセキュリティ更新に対処するために必要なパッチがありません:- ブロック:キュー制限変更後の整合性間隔を更新(Ritika Srivastava)[Orabug:27586756] - dccp:dccp_sendmsgで、ソケットが閉じられた状態かどうかを確認(Alexey Kodanev)[Orabug:28001529](CVE-2017-8824)(CVE-2018-1130)- net/rds:ARPフラッシュを正しく実装(H&aring kon Bugge)[Orabug:28219857] - net/rds:より大きいIPアドレスとより小さいIPアドレスの不適切なチェックを修正(H&aring kon Bugge)[Orabug:28236599] - ocfs2:res->trackingとdlm->tracking_listのロックを修正(Ashish Samant)[Orabug:28256391] - xfrm:policy:ポリシー方向の値をチェック(Vladis Dronov)[Orabug:28256487](CVE-2017-11600)(CVE-2017-11600)- NICを事前に割り当てるためのカーネルパラメーターを追加(Brian Maly)[Orabug:27870400] - mm/mempolicy.c:set_mempolicyとmbindのエラー処理を修正します。(Chris Salls)[Orabug:28242475](CVE-2017-7616)- xhci:論理切断時のUSB3のNULLポインターデリファレンスを修正します。(Mathias Nyman)[Orabug:27426023] - mlx4_core:最適なICMメモリ割り当てを復元(Eric Dumazet)- mlx4_core:ICMメモリをページサイズのチャンクで割り当て(Qing Huang)- kernel/signal.c:kill_something_infoの未定義の動作を回避:ユーザー空間でkill(72057458746458112、0)を実行しているとき、次の問題が発生しました。(mridula shastry)[Orabug:28078687](CVE-2018-10124)- rds:tcp:->write_seqからのオフセットとしてm_ack_seqを計算(Sowmini Varadhan)[Orabug:28085214] - ext4:ビットマップ位置の検証を修正(Lukas Czerner)[Orabug:28167032] - net/rds:failover_groupの解析におけるバグを修正(H&aring kon Bugge)[Orabug:28198749] - sctp:_sctp_make_chunkで新しいチャンクのサイズを検証(Alexey Kodanev)[Orabug:28240074](CVE-2018-5803)- netfilter:xt_TCPMSS:tcph->doffにサニティーテストを追加(Eric Dumazet)[Orabug:27896802](CVE-2017-18017)- kernel/exit.c:wait4を呼び出すときの未定義の動作を回避: wait4(-2147483648, 0x20, 0, 0xdd0000)は次をトリガーします:UBSAN:kernel/exit.c:1651:9の未定義の動作(mridula shastry)[Orabug:28049778](CVE-2018-10087)- x86/bugs/module:retpoline_modules_onlyパラメーターを提供し、retpoline以外のモジュールを失敗させる(Konrad Rzeszutek Wilk)[Orabug:28071992]

ソリューション

影響を受けるkernel-uek/kernel-uek-firmwareパッケージを更新してください。

関連情報

https://oss.oracle.com/pipermail/oraclevm-errata/2018-July/000872.html

プラグインの詳細

深刻度: Critical

ID: 111021

ファイル名: oraclevm_OVMSA-2018-0236.nasl

バージョン: 1.5

タイプ: local

公開日: 2018/7/12

更新日: 2019/9/27

依存関係: ssh_get_info.nasl

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Critical

Base Score: 10

Temporal Score: 7.8

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

現状ベクトル: CVSS2#E:POC/RL:OF/RC:C

CVSS v3

リスクファクター: Critical

Base Score: 9.8

Temporal Score: 8.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: cpe:2.3:o:oracle:vm_server:3.4:*:*:*:*:*:*:*, p-cpe:2.3:a:oracle:vm:kernel-uek:*:*:*:*:*:*:*, p-cpe:2.3:a:oracle:vm:kernel-uek-firmware:*:*:*:*:*:*:*

必要な KB アイテム: Host/local_checks_enabled, Host/OracleVM/release, Host/OracleVM/rpm-list

パッチ公開日: 2018/7/11

脆弱性公開日: 2017/4/10

参照情報

CVE: CVE-2017-11600, CVE-2017-8824, CVE-2017-18017, CVE-2018-10087, CVE-2018-10124, CVE-2018-1130, CVE-2018-5803, CVE-2017-7616