OracleVM 3.4: qemu-kvm(OVMSA-2019-0045)

high Nessus プラグイン ID 129370
New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモートのOracleVMホストにセキュリティ更新がありません。

説明

リモートのOracleVMシステムには、重要なセキュリティ更新に対処するために必要なパッチがありません。

- kvm-slirp-fix-big-little-endian-conversion-in-ident-prot.patch

- kvm-slirp-ensure-there-is-enough-space-in-mbuf-to-null-t.patch

- kvm-slirp-don-t-manipulate-so_rcv-in-tcp_emu.patch [bz#1669066]

- kvm-qxl-check-release-info-object.patch [bz#1712728]

- kvm-net-Use-iov-helper-functions.patch [bz#1636415]

- kvm-net-increase-buffer-size-to-accommodate-Jumbo-frame-.patch

- kvm-net-ignore-packet-size-greater-than-INT_MAX.patch [bz#1636415]

- kvm-net-drop-too-large-packet-early.patch [bz#1636415]

- kvm-PATCH-slirp-fix-buffer-overrun.patch [bz#1586251]

- kvm-Fix-build-from-previous-commit.patch [bz#1586251]

- kvm-slirp-remove-mbuf-m_hdr-m_dat-indirect.patch [bz#1586251]

- kvm-slirp-Convert-mbufs-to-use-g_malloc-and-g_free.patch [bz#1586251]

- kvm-slirp-correct-size-computation-while-concatenating-m.patch

- kvm-pcnet-fix-possible-buffer-overflow.patch [bz#1636774]

- 解決: bz#1586251(CVE-2018-11806 qemu-kvm: QEMU:
slirp: 断片化したデータグラムの再アセンブリ中のヒープバッファオーバーフロー[rhel-6.10.z])

- 解決: bz#1636415(CVE-2018-10839 qemu-kvm: Qemu:
ne2000: 整数オーバーフローがバッファオーバーフロー問題を引き起こす[rhel-6])

- 解決: bz#1636774(CVE-2018-17962 qemu-kvm: Qemu:
pcnet: 整数オーバーフローがバッファオーバーフローを引き起こす[rhel-6])

- 解決: bz#1669066(CVE-2019-6778 qemu-kvm: QEMU:
slirp: tcp_emuでのヒープバッファオーバーフロー[rhel-6.10.z])

- 解決: bz#1712728(CVE-2019-12155 qemu-kvm: QEMU:
- qxl: スパイスリソースの解放中のNULLポインターデリファレンス[rhel-6])

ソリューション

影響を受けるqemu-imgパッケージを更新してください。

関連情報

http://www.nessus.org/u?3e2a341a

プラグインの詳細

深刻度: High

ID: 129370

ファイル名: oraclevm_OVMSA-2019-0045.nasl

バージョン: 1.3

タイプ: local

公開日: 2019/9/26

更新日: 2019/12/23

依存関係: ssh_get_info.nasl

リスク情報

VPR

リスクファクター: High

スコア: 8.1

CVSS v2

リスクファクター: High

Base Score: 7.2

Temporal Score: 5.3

ベクトル: AV:L/AC:L/Au:N/C:C/I:C/A:C

現状ベクトル: E:U/RL:OF/RC:C

CVSS v3

リスクファクター: High

Base Score: 8.2

Temporal Score: 7.1

ベクトル: CVSS:3.0/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

現状ベクトル: E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:oracle:vm:qemu-img, cpe:/o:oracle:vm_server:3.4

必要な KB アイテム: Host/local_checks_enabled, Host/OracleVM/release, Host/OracleVM/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2019/9/25

脆弱性公開日: 2018/6/13

参照情報

CVE: CVE-2018-10839, CVE-2018-11806, CVE-2018-17962, CVE-2019-12155, CVE-2019-6778