OracleVM 3.4:Unbreakable/etc(OVMSA-2019-0024)

high Nessus プラグイン ID 125754
New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモートのOracleVMホストに1つ以上のセキュリティ更新プログラムがありません。

説明

リモートのOracleVMシステムには、重大なセキュリティ更新に対処するために必要なパッチがありません:- hugetlbfs:プールページの割り当てが失敗し始めても再試行しない(Mike Kravetz)[Orabug:29324267] - x86/speculation:SkylakeなどのCPUでretpolineによってRSBを埋める(William Roche)[Orabug:29660924] - x86/speculation:RSB上書きマクロの再フォーマット(William Roche)[Orabug:29660924] - x86/speculation:IBRS&!SMEPでRSBを埋める動作の動的な有効化と無効化(William Roche)[Orabug:29660924] - x86/speculation:STUFF_RSBの動的な有効化(William Roche)[Orabug:29660924] - int3ハンドラーで割り込み時のアドレス空間検出を改善(William Roche)[Orabug:29660924] - ツリー外ビルド機能の修復(Mark Nicholson)[Orabug:29755100] - ext4:ext4_check_descriptorsの検出漏れと誤検出を修正(Shuning Zhang)[Orabug:29797007] - ocfs2:ocfs2_igetにおけるocfs2のinode読み取りのデータパニックを修正(Shuning Zhang)[Orabug:29233739] - Bluetooth:l2cap_get_conf_optに十分な大きさのバッファがあることを確認(Marcel Holtmann)[Orabug:29526426](CVE-2019-3459)- Bluetooth:l2cap_get_conf_optから返されるL2CAPオプションサイズの確認(Marcel Holtmann)[Orabug:29526426] (CVE-2019-3459)- HID:debug:リングバッファの実装を修正(Vladis Dronov)[Orabug:29629481](CVE-2019-3819)(CVE-2019-3819)- scsi:target:iscsi:再実装の代わりにhex2binを使用(Vincent Pelletier)[Orabug:29778875](CVE-2018-14633)(CVE-2018-14633)- scsi:libsas:smpタスクのタイムアウト時の競合状態を修正(Jason Yan)[Orabug:29783225](CVE-2018-20836)- scsi:megaraid_sas:DMAプールの作成失敗にエラーを返す(Jason Yan)[Orabug:29783254](CVE-2019-11810)- Bluetooth:hidp:バッファオーバーフローを修正(Young Xiao)[Orabug:29786786](CVE-2011-1079)(CVE-2019-11884)- x86/speculation/mds:MDSの「mitigations=」サポートを追加(Kanth Ghatraju)[Orabug:29791046] - net:rds:rds_tcp_kill_sockでt_sockがNULLの場合に接続を強制的に破棄する。(Mao Wenan)[Orabug:29802785](CVE-2019-11815)

ソリューション

影響を受けるkernel-uek/kernel-uek-firmwareパッケージを更新してください。

関連情報

https://oss.oracle.com/pipermail/oraclevm-errata/2019-June/000943.html

プラグインの詳細

深刻度: High

ID: 125754

ファイル名: oraclevm_OVMSA-2019-0024.nasl

バージョン: 1.3

タイプ: local

公開日: 2019/6/7

更新日: 2020/1/10

依存関係: ssh_get_info.nasl

リスク情報

VPR

リスクファクター: High

スコア: 7.4

CVSS v2

リスクファクター: High

Base Score: 9.3

Temporal Score: 6.9

ベクトル: AV:N/AC:M/Au:N/C:C/I:C/A:C

現状ベクトル: E:U/RL:OF/RC:C

CVSS v3

リスクファクター: High

Base Score: 8.1

Temporal Score: 7.1

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:oracle:vm:kernel-uek, p-cpe:/a:oracle:vm:kernel-uek-firmware, cpe:/o:oracle:vm_server:3.4

必要な KB アイテム: Host/local_checks_enabled, Host/OracleVM/release, Host/OracleVM/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2019/6/5

脆弱性公開日: 2012/6/21

参照情報

CVE: CVE-2011-1079, CVE-2018-14633, CVE-2018-20836, CVE-2019-11810, CVE-2019-11815, CVE-2019-11884, CVE-2019-3459, CVE-2019-3819

BID: 46616