OracleVM 3.4:Unbreakable / etc(OVMSA-2020-0041)

medium Nessus プラグイン ID 140361
New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモートのOracleVMホストに1つ以上のセキュリティ更新プログラムがありません。

説明

リモート OracleVM システムに、重大なセキュリティ更新に対処するために必要なパッチが、欠落しています:

- can: peak_usb: pcan_usb_fd:USBデバイスへの情報漏洩を修正(Tomas Bortoli氏)[Orabug: 31351221] (CVE-2019-19535)

- media: hdpvr:hdpvr_probeのエラー処理パスを修正(Arvind Yadav氏)[Orabug: 31352053] (CVE-2017-16644)

- fs/binfmt_misc.c: オフセットオーバーフローを許可しません(Thadeu Lima de Souza Cascardo氏)[Orabug: 31588258]-非同期の無効化をキューに入れる前に、inodeを消去し、ページを切り捨てます(Gautham Anansakrishna氏)[Orabug: 31744270]

- mm:alloc_last_chance debugfsエントリを作成(Mike Kravetz氏)[Orabug: 31295499]-mm:割り当てエラーの前に「last chance」回収活動を実行(Mike Kravetz氏)[Orabug: 31295499] - mm: ページ割り当てslowpathに「order」回数を再試行させます(Mike Kravetz氏)[Orabug: 31295499]-「netns: net_hash_mix用の純粋なエントロピーを提供します」からkABIの破損を修正(Dan Duval氏)[Orabug: 31351904] (CVE-2019-10638) (CVE-2019-10639)

- netns:net_hash_mix用の純粋なエントロピーを提供します(Eric Dumazet氏)[Orabug: 31351904] (CVE-2019-10638) (CVE-2019-10639)

- hrtimer:タイマー->ベースへのロックレスアクセスに注釈を付ける(Eric Dumazet氏)[Orabug: 31380495] - rds: ib:「net / rds:
CM REQの再試行によるストールされた接続を回避します」を戻します(H&aring kon Bugge)[Orabug: 31648141] - rds: 再接続保留中のビットをクリアします(H&aring kon Bugge)(Orabug:
31648141] - RDMA / netlink: 一部のnetlink操作に対するACKを必ずしも生成しない(H&aring kon Bugge)[Orabug:
31666975] - genirq / proc: irq_set_affinityが失敗したときに適切なエラーコードを返します(Wen Yaxng氏)[Orabug: 31723450]

- fs/binfmt_elf.c: fill_thread_core_infoで初期化されたメモリを割り当て(Alexander Potapenko氏)[Orabug:
31350639] (CVE-2020-10732)

- crypto:user - crypto_reportのメモリリークを修正(Navid Emamdoost氏)[Orabug: 31351640] (CVE-2019-19062)

- of:unittest: Unittest_data_addのメモリリークを修正(Navid Emamdoost氏)[Orabug: 31351702] (CVE-2019-19049)

- IB/sa: ib_nl_make_requestのuse-after-freeを解決(Divya Indi氏)[Orabug: 31656992] - net-sysfs: kobject_init_and_addが成功した場合にdev_holdを呼び出す(YueHaibing氏)[Orabug: 31687545] (CVE-2019-20811)

ソリューション

影響を受けるkernel-uek / kernel-uek-firmwareパッケージを更新してください。

関連情報

http://www.nessus.org/u?566c17a8

プラグインの詳細

深刻度: Medium

ID: 140361

ファイル名: oraclevm_OVMSA-2020-0041.nasl

バージョン: 1.2

タイプ: local

公開日: 2020/9/8

更新日: 2020/9/10

依存関係: ssh_get_info.nasl

リスク情報

CVSS スコアのソース: CVE-2017-16644

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: High

Base Score: 7.2

Temporal Score: 5.3

ベクトル: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C

現状ベクトル: CVSS2#E:U/RL:OF/RC:C

CVSS v3

リスクファクター: Medium

Base Score: 6.6

Temporal Score: 5.8

ベクトル: CVSS:3.0/AV:P/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:2.3:o:oracle:vm_server:3.4:*:*:*:*:*:*:*, p-cpe:2.3:a:oracle:vm:kernel-uek:*:*:*:*:*:*:*, p-cpe:2.3:a:oracle:vm:kernel-uek-firmware:*:*:*:*:*:*:*

必要な KB アイテム: Host/local_checks_enabled, Host/OracleVM/release, Host/OracleVM/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2020/9/4

脆弱性公開日: 2017/11/7

参照情報

CVE: CVE-2017-16644, CVE-2019-10638, CVE-2019-10639, CVE-2019-19049, CVE-2019-19062, CVE-2019-19535, CVE-2019-20811, CVE-2020-10732