Debian DSA-4602-1 : xen - セキュリティ更新プログラム(MDSUM/RIDL)(MFBDS/RIDL/ZombieLoad)(MLPDS/RIDL)(MSBDS/Fallout)

critical Nessus プラグイン ID 132875

概要

リモートのDebianホストにセキュリティ関連の更新プログラムがありません。

説明

Xenハイパーバイザーに複数の脆弱性が発見されました。これは、サービス拒否攻撃、ゲストからホストへの権限昇格、または情報漏洩につながる可能性があります。

さらに、この更新は「TSX Asynchronous Abort」の投機的サイドチャネル攻撃に対する緩和策を提供します。詳細については、https://xenbits.xen.org/xsa/advisory-305.htmlを参照してください

ソリューション

xen パッケージをアップグレードしてください。

旧安定版(oldstable)ディストリビューション(stretch)では、これらの問題はバージョン4.8.5.final+shim4.10.4-1+deb9u12で修正されています。これは、旧安定版(oldstable)ディストリビューションでのXen用の最後のセキュリティ更新となる予定であることに注意してください。
4.8.xブランチのアップストリームサポートは、2019年12月末で終了しました。Xenインストール用セキュリティサポートに依存している場合は、安定版(stable)ディストリビューション(buster)に更新するようお勧めします。

安定版(stable)ディストリビューション(buster)では、これらの問題はバージョン4.11.3+24-g14b62ab3e5-1~deb10u1で修正されています。

参考資料

https://xenbits.xen.org/xsa/advisory-305.html

https://security-tracker.debian.org/tracker/source-package/xen

https://packages.debian.org/source/stretch/xen

https://packages.debian.org/source/buster/xen

https://www.debian.org/security/2020/dsa-4602

プラグインの詳細

深刻度: Critical

ID: 132875

ファイル名: debian_DSA-4602.nasl

バージョン: 1.8

タイプ: local

エージェント: unix

公開日: 2020/1/15

更新日: 2024/5/27

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7.3

CVSS v2

リスクファクター: High

基本値: 9.3

現状値: 7.3

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2019-18425

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:debian:debian_linux:xen, cpe:/o:debian:debian_linux:9.0, cpe:/o:debian:debian_linux:10.0

必要な KB アイテム: Host/Debian/release, Host/Debian/dpkg-l, Host/local_checks_enabled

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2020/1/13

脆弱性公開日: 2019/5/30

参照情報

CVE: CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2018-12207, CVE-2019-11091, CVE-2019-11135, CVE-2019-17340, CVE-2019-17341, CVE-2019-17342, CVE-2019-17343, CVE-2019-17344, CVE-2019-17345, CVE-2019-17346, CVE-2019-17347, CVE-2019-17348, CVE-2019-17349, CVE-2019-17350, CVE-2019-18420, CVE-2019-18421, CVE-2019-18422, CVE-2019-18423, CVE-2019-18424, CVE-2019-18425, CVE-2019-19577, CVE-2019-19578, CVE-2019-19579, CVE-2019-19580, CVE-2019-19581, CVE-2019-19582, CVE-2019-19583

DSA: 4602

IAVB: 2019-B-0091-S