OracleVM 3.4:xen(OVMSA-2019-0016)(MDSUM/RIDL)(MFBDS/RIDL/ZombieLoad)(MLPDS/RIDL)(MSBDS/Fallout)

medium Nessus プラグイン ID 125104
New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモートのOracleVMホストに1つ以上のセキュリティ更新プログラムがありません。

説明

リモートのOracleVMシステムには、重大なセキュリティ更新に対処するために必要なパッチがありません:- BUILDINFO:OVMFコミット=173bf5c847e3ca8b42c11796ce048d8e2e916ff8 - BUILDINFO:xenコミット=3885a020649df84b883ea20d11ca15b7d7640201 - BUILDINFO:QEMUアップストリームコミット=8bff6989bd0bafcc0ddf859c23ce6a2ff21a80ff - BUILDINFO:QEMU従来コミット=346fdd7edd73f8287d0d0a2bab9c67b71bc6b8ba - BUILDINFO:IPXEコミット=9a93db3f0947484e30e753bbd61a10b17336e20e - BUILDINFO:SeaBIOSコミット=7d9cbe613694924921ed1a6f8947d711c5832eee - x86/HVM:WRMSRの成功という誤った印象を与えない(root)- BUILDINFO:OVMFコミット=173bf5c847e3ca8b42c11796ce048d8e2e916ff8 - BUILDINFO:xenコミット=71714f34026c4e0b105bf2def8d2dc4c7171d5b8 - BUILDINFO:QEMUアップストリームコミット=8bff6989bd0bafcc0ddf859c23ce6a2ff21a80ff - BUILDINFO:QEMU従来コミット=346fdd7edd73f8287d0d0a2bab9c67b71bc6b8ba - BUILDINFO:IPXEコミット=9a93db3f0947484e30e753bbd61a10b17336e20e - BUILDINFO:SeaBIOSコミット=7d9cbe613694924921ed1a6f8947d711c5832eee - Red-tape:XSA-297の新規CVEでレポジトリを更新(Patrick Colp)[Orabug:29725297](CVE-2019-11091)- x86/spec-ctl:X86_FEATURE_MD_CLEARをゲストに開示(Patrick Colp)[Orabug:29677162](CVE-2018-12126)(CVE-2018-12127)(CVE-2018-12130)- x86/spec-ctrl:VERWフラッシングを制御するオプションを導入(Andrew Cooper)[Orabug:2977162](CVE-2018-12126)(CVE-2018-12127)(CVE-2018-12130)(CVE-2018-12126)(CVE-2018-12127)(CVE-2018-12130)- x86/spec-ctrl:VERWを使用してパイプラインバッファをフラッシュするためのインフラストラクチャ(Andrew Cooper)[Orabug:29677162](CVE-2018-12126)(CVE-2018-12127)(CVE-2018-12130)(CVE-2018-12126)(CVE-2018-12127)(CVE-2018-12130)- x86/spec-ctrl:マイクロアーキテクチャーデータサンプリングのためのCPUID/MSR定義(Andrew Cooper)[Orabug:29677162](CVE-2018-12126)(CVE-2018-12127)(CVE-2018-12130)(CVE-2018-12126)(CVE-2018-12127)(CVE-2018-12130)- BUILDINFO:OVMFコミット=173bf5c847e3ca8b42c11796ce048d8e2e916ff8 - BUILDINFO:xenコミット=0d8ecd7732e56484c10e4b584de17d360d940252 - BUILDINFO:QEMUアップストリームコミット=8bff6989bd0bafcc0ddf859c23ce6a2ff21a80ff - BUILDINFO:QEMU従来コミット=346fdd7edd73f8287d0d0a2bab9c67b71bc6b8ba - BUILDINFO:IPXEコミット=9a93db3f0947484e30e753bbd61a10b17336e20e - BUILDINFO:SeaBIOSコミット=7d9cbe613694924921ed1a6f8947d711c5832eee - Config:linux-git.us.oracle.comを使用するgitリンクを更新(Patrick Colp)- gnttab:ページ参照カウントをcopy-on-grant-transfer用に設定(Jan Beulich)

ソリューション

影響を受けるxen/xen-toolsパッケージを更新してください。

関連情報

https://oss.oracle.com/pipermail/oraclevm-errata/2019-May/000939.html

プラグインの詳細

深刻度: Medium

ID: 125104

ファイル名: oraclevm_OVMSA-2019-0016.nasl

バージョン: 1.4

タイプ: local

公開日: 2019/5/15

更新日: 2020/1/17

依存関係: ssh_get_info.nasl

リスク情報

CVSS スコアのソース: CVE-2019-11091

VPR

リスクファクター: High

スコア: 7.7

CVSS v2

リスクファクター: Medium

Base Score: 4.7

Temporal Score: 3.5

ベクトル: AV:L/AC:M/Au:N/C:C/I:N/A:N

現状ベクトル: E:U/RL:OF/RC:C

CVSS v3

リスクファクター: Medium

Base Score: 5.6

Temporal Score: 4.9

ベクトル: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:N/A:N

現状ベクトル: E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:oracle:vm:xen, p-cpe:/a:oracle:vm:xen-tools, cpe:/o:oracle:vm_server:3.4

必要な KB アイテム: Host/local_checks_enabled, Host/OracleVM/release, Host/OracleVM/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2019/5/14

脆弱性公開日: 2019/5/30

参照情報

CVE: CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091