OracleVM 3.4:Unbreakable / etc(OVMSA-2020-0041)

high Nessus プラグイン ID 140361

言語:

概要

リモートのOracleVMホストに1つ以上のセキュリティ更新プログラムがありません。

説明

リモート OracleVM システムに、重大なセキュリティ更新に対処するために必要なパッチが、欠落しています:

 - can: peak_usb: pcan_usb_fd:USBデバイスへの情報漏洩を修正(Tomas Bortoli氏)[Orabug: 31351221] (CVE-2019-19535)

 - media: hdpvr:hdpvr_probeのエラー処理パスを修正(Arvind Yadav氏)[Orabug: 31352053] (CVE-2017-16644)

 - fs/binfmt_misc.c: オフセットオーバーフローを許可しません(Thadeu Lima de Souza Cascardo氏)[Orabug: 31588258]-非同期の無効化をキューに入れる前に、inodeを消去し、ページを切り捨てます(Gautham Anansakrishna氏)[Orabug: 31744270]

 - mm:alloc_last_chance debugfsエントリを作成(Mike Kravetz氏)[Orabug: 31295499]-mm:割り当てエラーの前に「last chance」回収活動を実行(Mike Kravetz氏)[Orabug: 31295499] - mm: ページ割り当てslowpathに「order」回数を再試行させます(Mike Kravetz氏)[Orabug: 31295499]-「netns: net_hash_mix用の純粋なエントロピーを提供します」からkABIの破損を修正(Dan Duval氏)[Orabug: 31351904] (CVE-2019-10638) (CVE-2019-10639)

 - netns:net_hash_mix用の純粋なエントロピーを提供します(Eric Dumazet氏)[Orabug: 31351904] (CVE-2019-10638) (CVE-2019-10639)

 - hrtimer:タイマー->ベースへのロックレスアクセスに注釈を付ける(Eric Dumazet氏)[Orabug: 31380495] - rds: ib:「net / rds:
 CM REQの再試行によるストールされた接続を回避します」を戻します(H&aring kon Bugge)[Orabug: 31648141] - rds: 再接続保留中のビットをクリアします(H&aring kon Bugge)(Orabug:
 31648141] - RDMA / netlink: 一部のnetlink操作に対するACKを必ずしも生成しない(H&aring kon Bugge)[Orabug:
 31666975] - genirq / proc: irq_set_affinityが失敗したときに適切なエラーコードを返します(Wen Yaxng氏)[Orabug: 31723450]

 - fs/binfmt_elf.c: fill_thread_core_infoで初期化されたメモリを割り当て(Alexander Potapenko氏)[Orabug:
31350639] (CVE-2020-10732)

 - crypto:user - crypto_reportのメモリリークを修正(Navid Emamdoost氏)[Orabug: 31351640] (CVE-2019-19062)

 - of:unittest: Unittest_data_addのメモリリークを修正(Navid Emamdoost氏)[Orabug: 31351702] (CVE-2019-19049)

 - IB/sa: ib_nl_make_requestのuse-after-freeを解決(Divya Indi氏)[Orabug: 31656992] - net-sysfs: kobject_init_and_addが成功した場合にdev_holdを呼び出す(YueHaibing氏)[Orabug: 31687545] (CVE-2019-20811)

ソリューション

影響を受けるkernel-uek / kernel-uek-firmwareパッケージを更新してください。

関連情報

http://www.nessus.org/u?566c17a8

プラグインの詳細

深刻度: High

ID: 140361

ファイル名: oraclevm_OVMSA-2020-0041.nasl

バージョン: 1.3

タイプ: local

公開日: 2020/9/8

更新日: 2022/5/13

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: High

Base Score: 7.2

Temporal Score: 5.3

ベクトル: AV:L/AC:L/Au:N/C:C/I:C/A:C

現状ベクトル: E:U/RL:OF/RC:C

CVSS スコアのソース: CVE-2017-16644

CVSS v3

リスクファクター: High

Base Score: 7.5

Temporal Score: 6.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

現状ベクトル: E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:oracle:vm:kernel-uek, p-cpe:/a:oracle:vm:kernel-uek-firmware, cpe:/o:oracle:vm_server:3.4

必要な KB アイテム: Host/local_checks_enabled, Host/OracleVM/release, Host/OracleVM/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2020/9/4

脆弱性公開日: 2017/11/7

参照情報

CVE: CVE-2017-16644, CVE-2019-10638, CVE-2019-10639, CVE-2019-19049, CVE-2019-19062, CVE-2019-19535, CVE-2019-20811, CVE-2020-10732