Oracle Linux 9 : qemu-kvm (ELSA-2024-12407)
high Nessus プラグイン ID 200094
Language:
概要
リモートの Oracle Linux ホストに、1 つ以上のセキュリティ更新プログラムがありません。説明
リモートの Oracle Linux 9 ホストに、ELSA-2024-12407アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。- ui/clipboard: 更新とリクエストのアサーションを追加 (Fiona Ebner 氏) [Orabug: 36323175] {CVE-2023-6683}
- ui/clipboard: データがない場合、タイプを利用不可としてマークする (Fiona Ebner 氏) [Orabug: 36323175] {CVE-2023-6683}
- virtio-net: TX のフラッシュ時に vnet ヘッダーを正しくコピーする (Jason Wang 氏) [Orabug: 36154459] {CVE-2023-6693}
- esp: 非 DMA 転送の長さを利用可能なデータの長さに制限 (Mark Cave-Ayland 氏) [Orabug: 36322141] {CVE-2024-24474}
- net: NIC の MemReentrancyGuard を更新 (Akihiko Odaki 氏) [Orabug: 35644197] {CVE-2023-3019}
- net: qemu_new_nic() に MemReentrancyGuard * を提供 (Akihiko Odaki 氏) [Orabug: 35644197] {CVE-2023-3019}
- lsi53c895a: MMIO 領域のリエントランシー検出も無効にする (Thomas Huth 氏) [Orabug: 33774027] {CVE-2021-3750}
- memory: engage_in_io の設定解除前のより厳格なチェック (Alexander Bulekov 氏) [Orabug: 33774027] {CVE-2021-3750}
- async: re-entrancy ガードのメモリ解放後使用 (Use After Free) の回避 (Alexander Bulekov 氏) [Orabug: 33774027] {CVE-2021-3750}
- apic: apic-msi のリエントランシー検出を無効にする (Alexander Bulekov 氏) [Orabug: 33774027] {CVE-2021-3750}
- raven: iomem のリエントランシー検出を無効にする (Alexander Bulekov 氏) [Orabug: 33774027] {CVE-2021-3750}
- bcm2835_property: iomem のリエントランシー検出を無効にする (Alexander Bulekov 氏) [Orabug: 33774027] {CVE-2021-3750}
- lsi53c895a: スクリプト RAM のリエントランシー検出を無効にする (Alexander Bulekov 氏) [Orabug: 33774027] {CVE-2021-3750}
- hw: ほとんどの qemu_bh_new 呼び出しを qemu_bh_new_guarded に置き換える (Alexander Bulekov 氏) [Orabug: 33774027] {CVE-2021-3750}
- checkpatch: qemu_bh_new/aio_bh_new チェックを追加 (Alexander Bulekov 氏) [Orabug: 33774027] {CVE-2021-3750}
- async: オプションのリエントランシーガードを BH API に追加 (Alexander Bulekov 氏) [Orabug: 33774027] {CVE-2021-3750}
- memory: dma-reentracy の問題を回避 (Alexander Bulekov 氏) [Orabug: 33774027] {CVE-2021-3750}
- hw/scsi/scsi-disk: 512 [CVE-2023-42467] より小さいブロックサイズを許可しない (Thomas Huth 氏) [Orabug:
35808564] {CVE-2023-42467}
- tests/qtest: ahci-test: 保留中のコールバックによるリセット問題を明らかにするテストを追加 (Fiona Ebner 氏) [Orabug:
35977245] {CVE-2023-5088}
- hw/ide: reset: 状態をリセットする前に非同期 DMA 操作をキャンセルする (Fiona Ebner 氏) [Orabug: 35977245] {CVE-2023-5088}
Tenable は、前述の記述ブロックを Oracle Linux セキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるパッケージを更新してください。参考資料
プラグインの詳細
深刻度: High
ID: 200094
ファイル名: oraclelinux_ELSA-2024-12407.nasl
バージョン: 1.2
タイプ: local
エージェント: unix
公開日: 2024/6/4
更新日: 2024/6/7
サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: High
スコア: 7.3
CVSS v2
リスクファクター: Medium
基本値: 4.6
現状値: 3.6
ベクトル: CVSS2#AV:L/AC:L/Au:N/C:P/I:P/A:P
CVSS スコアのソース: CVE-2021-3750
CVSS v3
リスクファクター: High
基本値: 8.2
現状値: 7.4
ベクトル: CVSS:3.0/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:oracle:linux:qemu-img, p-cpe:/a:oracle:linux:qemu-kvm-common, p-cpe:/a:oracle:linux:qemu-kvm-block-rbd, p-cpe:/a:oracle:linux:qemu-kvm-block-curl, p-cpe:/a:oracle:linux:qemu-kvm-block-ssh, p-cpe:/a:oracle:linux:qemu-virtiofsd, p-cpe:/a:oracle:linux:qemu-kvm-core, p-cpe:/a:oracle:linux:qemu-kvm, p-cpe:/a:oracle:linux:qemu-kvm-block-iscsi, p-cpe:/a:oracle:linux:qemu-guest-agent, cpe:/o:oracle:linux:9, cpe:/a:oracle:linux:9::kvm_utils
必要な KB アイテム: Host/OracleLinux, Host/RedHat/release, Host/RedHat/rpm-list, Host/local_checks_enabled
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2024/6/3
脆弱性公開日: 2022/5/2
参照情報
CVE: CVE-2021-3750, CVE-2023-3019, CVE-2023-42467, CVE-2023-5088, CVE-2023-6683, CVE-2023-6693, CVE-2024-24474
IAVB: 2024-B-0070