OracleVM 3.4:Unbreakable/etc(OVMSA-2019-0023)(MFBDS/RIDL/ZombieLoad)(MLPDS/RIDL)

medium Nessus プラグイン ID 125664
New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモートのOracleVMホストに1つ以上のセキュリティ更新プログラムがありません。

説明

リモートのOracleVMシステムには、重大なセキュリティ更新に対処するために必要なパッチがありません:- x86/speculation/mds:緩和策を設定する前にマイクロコードが正しいか確認してください(Kanth Ghatraju)[Orabug:29797118] - vxlan:vxlan-> dev-> dev_addrにアクセスする前にdev-> flags & IFF_UPをテスト(Venkat Venkatsubra)[Orabug:29710939] - vxlan:gro_cells_receiveを呼び出す前にdev-> flags & IFF_UPをテスト(Eric Dumazet)[Orabug:29710939] - nvme:タイムアウトしたiOSの再試行を許可(James Smart)[Orabug:29301607] - rds:接続管理用のワーカースレッドのプールを導入(H&aring kon Bugge)[Orabug:29391909]- rds:該当する場合にrds_conn_path cp_wqを使用(H&aring kon Bugge)[Orabug:29391909] - rds:ib:適切なcm_id compareを実装(H&aring kon Bugge)[Orabug:29391909] -「net/rds:古いARPエントリを使用したRDS接続を防止」を復元(H&aring kon Bugge)[Orabug:29391909] - rds:ib:必要に応じてARPキャッシュをフラッシュする(H&aring kon Bugge)[Orabug:29391909] - rds:単純なヒューリスティックを追加して接続遅延を判断(H&aring kon Bugge)[Orabug:29391909] - rds:片側接続の修正(H&aring kon Bugge)[Orabug:29391909] - rds:接続管理に関連するftraceの統合と調整(H&aring kon Bugge)[Orabug:29391909] - rds:ib:Gratuitous ARPのストームを修正(H&aring kon Bugge)[Orabug:29391909] - IB/mlx4:CMキャッシュのタイムアウトを増加(H&aring kon Bugge)[Orabug:29391909] - kvm/speculation:ホストがSSBDを使用しない場合にKVMゲストによるSSBD使用を許可(Alejandro Jimenez)[Orabug:29423804] - x86/speculation:spec_store_bypass_disable = onが使用されているとき、拡張されたIBRSをオンのままにする(Alejandro Jimenez)[Orabug:29423804] - x86/speculation:bugs_64.cの拡張IBRSチェックをクリーンアップ(Alejandro Jimenez)[Orabug:29423804] - mm:thp:MADV_HUGEPAGEマッピングの__GFP_THISNODEを緩和(Andrea Arcangeli)[Orabug:29510356] - bnxt_en:RXバッファエラーでデバイスをリセットする。(Michael Chan)[Orabug:29651238] - x86/mitigations:Xen PVゲストのテストを修正(Boris Ostrovsky)[Orabug:29774291] - x86/speculation/mds:verwの使用法を修正してメモリオペランドを使用(Kanth Ghatraju)[Orabug:29791036](CVE-2018-12127)(CVE-2018-12130)

ソリューション

影響を受けるkernel-uek/kernel-uek-firmwareパッケージを更新してください。

関連情報

https://oss.oracle.com/pipermail/oraclevm-errata/2019-June/000942.html

プラグインの詳細

深刻度: Medium

ID: 125664

ファイル名: oraclevm_OVMSA-2019-0023.nasl

バージョン: 1.3

タイプ: local

公開日: 2019/6/3

更新日: 2020/1/13

依存関係: ssh_get_info.nasl

リスク情報

CVSS スコアのソース: CVE-2018-12130

VPR

リスクファクター: High

スコア: 7.7

CVSS v2

リスクファクター: Medium

Base Score: 4.7

Temporal Score: 3.5

ベクトル: AV:L/AC:M/Au:N/C:C/I:N/A:N

現状ベクトル: E:U/RL:OF/RC:C

CVSS v3

リスクファクター: Medium

Base Score: 5.6

Temporal Score: 4.9

ベクトル: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:N/A:N

現状ベクトル: E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:oracle:vm:kernel-uek, p-cpe:/a:oracle:vm:kernel-uek-firmware, cpe:/o:oracle:vm_server:3.4

必要な KB アイテム: Host/local_checks_enabled, Host/OracleVM/release, Host/OracleVM/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2019/6/2

脆弱性公開日: 2019/5/30

参照情報

CVE: CVE-2018-12127, CVE-2018-12130