検出

SUSE SLES11セキュリティ更新プログラム:xen (SUSE-SU-2019:13921-1)

critical Nessus プラグイン ID 121004

Language:

概要

リモートのSUSEホストに1つ以上のセキュリティ更新がありません。

説明

このxen用更新プログラムでは、以下の問題が修正されています:

修正されたセキュリティ脆弱性:

CVE-2018-19961、CVE-2018-19962:AMD IOMMUでTLBのフラッシュが不十分で、ゲストが特権を昇格させたり、ホスト全体にサービス拒否(DoS)が発生したり、アクセスできないデータにアクセスしたりする可能性のある問題が修正されました。(XSA-275)(bsc#1115040)

CVE-2018-19965:非正規アドレスにアクセスすると、ゲストがXenをクラッシュさせ、ホスト全体にサービス拒否(DoS)を引き起こす可能性のある、INVPCID命令に関する問題が修正されました。(XSA-279)(bsc#1115045)

CVE-2018-19966:シャドウページングと競合し、ゲストがXenをクラッシュさせ、サービス拒否(DoS)を引き起こす可能性のある、XSA-240以前の修正に関連する問題が修正されました(XSA-280)(bsc#1115047)

CVE-2018-19967:ゲストがホストをロックアップしてサービス拒否(DoS)を引き起こす可能性のあるHLE構造が修正されました。(XSA-282)(bsc#1114988)

CVE-2018-19665:さまざまなBluetooth機能でメモリ破損を引き起こす整数オーバーフローが修正されました。メモリ破損が発生した場合、qemuプロセスがクラッシュし、サービス拒否(DoS)が発生する可能性があります。(bsc#1117756)

CVE-2018-18849:ユーザーおよび/またはプロセスがqemuプロセスをクラッシュさせてサービス拒否(DoS)を引き起こす可能性のある、LSI53C895A SCSIホストバスアダプターエミュレーションにおける領域外メモリアクセスを修正しました。
(bsc#1114423)

メモリ破損を引き起こす可能性があるccid_card_vscard_read()の整数オーバーフローが修正されました。(bsc#1112188)

CVE-2017-13672:表示更新時の領域外読み取りアクセスを修正しました(bsc#1056336)

CVE-2018-17958:rtl8139コンポーネントにバッファオーバーフローを引き起こす整数オーバーフローが修正されました。(bsc#1111007)

CVE-2018-17962:pcnetコンポーネントにバッファオーバーフローを引き起こす整数オーバーフローが修正されました。(bsc#1111011)

CVE-2018-17963:サービス拒否(DoS)を引き起こす可能性のある、大きなパケットサイズに関連する整数オーバーフローが修正されました。(bsc#1111014)

CVE-2018-10839:ne2000コンポーネントにバッファオーバーフローを引き起こす整数オーバーフローが修正されました。(bsc#1110924)

修正されたその他のバグ:SLE12-SP3 HVでのdomUのハングアップに関連する問題を修正しました(bsc#1108940)

Upstream バグ修正(bsc#1027519)

dom0ホスト間で移行しているときの、VMのクラッシュの問題が修正されました。(bsc#1031382)

xpti=no-dom0が想定どおり動作しない問題を修正しました(bsc#1105528)

注意:Tenable Network Securityは、前述の記述ブロックをSUSEセキュリティアドバイザリから直接抽出しています。Tenableでは、そこに新しい問題を追加することはせずに、できる限り自動的に整理と書式設定をするようにしています。

ソリューション

このSUSEセキュリティ更新プログラムをインストールするには、YaSTのonline_updateや「zypper patch」など、SUSEが推奨するインストール方法を使用してください。

別の方法として、製品にリストされているコマンドを実行することができます:

SUSE Linux Enterprise Software Development Kit 11-SP4:zypper in -t patch sdksp4-xen-13921=1

SUSE Linux Enterprise Server 11-SP4:zypper in -t patch slessp4-xen-13921=1

SUSE Linux Enterprise Debuginfo 11-SP4:zypper in -t patch dbgsp4-xen-13921=1

参考資料

https://bugzilla.suse.com/show_bug.cgi?id=1027519

https://bugzilla.suse.com/show_bug.cgi?id=1031382

https://bugzilla.suse.com/show_bug.cgi?id=1056336

https://bugzilla.suse.com/show_bug.cgi?id=1105528

https://bugzilla.suse.com/show_bug.cgi?id=1108940

https://bugzilla.suse.com/show_bug.cgi?id=1110924

https://bugzilla.suse.com/show_bug.cgi?id=1111007

https://bugzilla.suse.com/show_bug.cgi?id=1111011

https://bugzilla.suse.com/show_bug.cgi?id=1111014

https://bugzilla.suse.com/show_bug.cgi?id=1112188

https://bugzilla.suse.com/show_bug.cgi?id=1114423

https://bugzilla.suse.com/show_bug.cgi?id=1114988

https://bugzilla.suse.com/show_bug.cgi?id=1115040

https://bugzilla.suse.com/show_bug.cgi?id=1115045

https://bugzilla.suse.com/show_bug.cgi?id=1115047

https://bugzilla.suse.com/show_bug.cgi?id=1117756

https://www.suse.com/security/cve/CVE-2017-13672/

https://www.suse.com/security/cve/CVE-2018-10839/

https://www.suse.com/security/cve/CVE-2018-17958/

https://www.suse.com/security/cve/CVE-2018-17962/

https://www.suse.com/security/cve/CVE-2018-17963/

https://www.suse.com/security/cve/CVE-2018-18438/

https://www.suse.com/security/cve/CVE-2018-18849/

https://www.suse.com/security/cve/CVE-2018-19665/

https://www.suse.com/security/cve/CVE-2018-19961/

https://www.suse.com/security/cve/CVE-2018-19962/

https://www.suse.com/security/cve/CVE-2018-19965/

https://www.suse.com/security/cve/CVE-2018-19966/

https://www.suse.com/security/cve/CVE-2018-19967/

http://www.nessus.org/u?5a7a12fa

プラグインの詳細

深刻度: Critical

ID: 121004

ファイル名: suse_SU-2019-13921-1.nasl

バージョン: 1.5

タイプ: local

エージェント: unix

公開日: 2019/1/8

更新日: 2021/1/19

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.5

CVSS v2

リスクファクター: High

基本値: 7.5

現状値: 5.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:suse_linux:xen, p-cpe:/a:novell:suse_linux:xen-doc-html, p-cpe:/a:novell:suse_linux:xen-kmp-default, p-cpe:/a:novell:suse_linux:xen-kmp-pae, p-cpe:/a:novell:suse_linux:xen-libs, p-cpe:/a:novell:suse_linux:xen-tools, p-cpe:/a:novell:suse_linux:xen-tools-domu, cpe:/o:novell:suse_linux:11

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2019/1/2

脆弱性公開日: 2017/9/1

参照情報

CVE: CVE-2017-13672, CVE-2018-10839, CVE-2018-17958, CVE-2018-17962, CVE-2018-17963, CVE-2018-18438, CVE-2018-18849, CVE-2018-19665, CVE-2018-19961, CVE-2018-19962, CVE-2018-19965, CVE-2018-19966, CVE-2018-19967