OracleVM 3.4:Unbreakable/etc(OVMSA-2018-0254)(Foreshadow)

high Nessus プラグイン ID 117377

概要

リモートのOracleVMホストに1つ以上のセキュリティ更新プログラムがありません。

説明

リモートのOracleVMシステムには、重大なセキュリティ更新に対処するために必要なパッチがありません:Oracle VMセキュリティアドバイザリOVMSA-2018-0254 次の更新されたOracle VM 3.4向けrpmsがUnbreakable Linux Networkにアップロードされています:x86_64:kernel-uek-4.1.12-124.19.1.el6uek.x86_64.rpm kernel-uek-firmware-4.1.12-124.19.1.el6uek.noarch.rpm SRPMS:変更点の説明:- x86/entry/64:xen_failsafe_callbackで%ebxの処理が正しいことを確認する(George Kennedy)[Orabug:28402927](CVE-2018-14678)- x86/speculation/l1tf:Nehalem+のl1tfメモリ制限を増加させる(Andi Kleen)[Orabug:28488808](CVE-2018-3620)- x86/speculation/l1tf:過剰にRAMを持つシステムで何をすべきかを提案する(Vlastimil Babka)[Orabug:28488808](CVE-2018-3620)- x86/speculation/l1tf:システムに過剰なRAMがあることを警告するときのOff-by-oneエラーを修正(Vlastimil Babka)[Orabug:28488808](CVE-2018-3620)- x86/speculation/l1tf:32ビットでのl1tf_pfn_limitのオーバーフローを修正(Vlastimil Babka)[Orabug:28488808](CVE-2018-3620)- x86/speculation/l1tf:反転からゼロになったPTEを除外する(Sean Christopherson)[Orabug:28488808](CVE-2018-3620)- x86/l1tf:CONFIG_KVM_INTELが無効の場合に発生するビルドエラーを修正(Guenter Roeck)[Orabug:28488808](CVE-2018-3620)- x86/spectre:欠けているファミリー6のチェックをマイクロコードチェックに追加する(Andi Kleen)[Orabug:28488808](CVE-2018-3620)- KVM:x86:SVM:割り込みを無効にしてx86_spec_ctrl_set_guest/hostを呼び出す(Thomas Gleixner)[Orabug:28488808](CVE-2018-3646)- x86/microcode:SMTを無効にして遅れたマイクロコードの読み込みを許可する(Josh Poimboeuf)[Orabug:28488808](CVE-2018-3620)- x86/microcode:CPUがオフラインの場合はマイクロコードをアップロードしない(Ashok Raj)[Orabug:28488808](CVE-2018-3620)

ソリューション

影響を受けるkernel-uek/kernel-uek-firmwareパッケージを更新してください。

参考資料

http://www.nessus.org/u?a2499664

プラグインの詳細

深刻度: High

ID: 117377

ファイル名: oraclevm_OVMSA-2018-0254.nasl

バージョン: 1.3

タイプ: local

公開日: 2018/9/10

更新日: 2019/9/27

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: High

Base Score: 7.2

ベクトル: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C

CVSS v3

リスクファクター: High

Base Score: 7.8

ベクトル: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

脆弱性情報

CPE: p-cpe:/a:oracle:vm:kernel-uek, p-cpe:/a:oracle:vm:kernel-uek-firmware, cpe:/o:oracle:vm_server:3.4

必要な KB アイテム: Host/local_checks_enabled, Host/OracleVM/release, Host/OracleVM/rpm-list

パッチ公開日: 2018/9/7

脆弱性公開日: 2018/7/28

参照情報

CVE: CVE-2018-14678, CVE-2018-3620, CVE-2018-3646