openSUSE セキュリティ更新:xen(openSUSE-SU-2014:0483-1)

high Nessus プラグイン ID 75312

概要

リモート openSUSE ホストに、セキュリティ更新がありません。

説明

Xen が更新され、多様なバグやセキュリティ問題が修正されました:

Xen バージョン 4.2.4 c/s 26280 に更新します。

- bnc#861256 - CVE-2014-1950:xen:XSA-88:メモリプレッシャ下での xc_cpupool_getinfo() の use-after-free。(更新で含まれる修正)

- bnc#863297:xend/pvscsi:SCSI CDROM デバイスも認識します

- bnc#858496 - CVE-2014-1642:Xen:XSA-83:IRQ 設定中にメモリ破損を発生させるメモリ不足の状態

- bnc#860163 - xen:XSA-84:複数の XSM/Flask ハイパーコールの整数オーバーフロー(CVE-2014-1891 CVE-2014-1892 CVE-2014-1893 CVE-2014-1894)

- bnc#860165 - CVE-2014-1895:xen:XSA-85:FLASK_AVC_CACHESTAT ハイパーコールの off-by-one エラー

- bnc#860300 - CVE-2014-1896:xen:XSA-86:libvchan の悪意のあるリングインデックス処理の失敗

- bnc#860302 - CVE-2014-1666:xen:XSA-87:
PHYSDEVOP_{prepare,release}_msix の権限のないゲストへの露出

- bnc#858311 - 最新更新後にカーネル XEN でサーバーが起動しません -(XEN)d0 のセットアップ 0000:00:18.0 が失敗しました(-19)

- bnc#858496 - CVE-2014-1642:Xen:XSA-83:IRQ 設定中にメモリ破損を発生させるメモリ不足の状態

- bnc#853049 - CVE-2013-6885:xen:XSA-82:ゲストがトリガー可能な AMD CPU エラータにより、ホストがハングアップする可能性があります

- bnc#853048 - CVE-2013-6400:xen:XSA-80:IOMMU TLB フラッシュが不注意で抑制される可能性があります

- bnc#831120 - CVE-2013-2212:xen:XSA-60:PCI パススルーで、HVM ゲストでキャッシュ使用を無効化するために時間が掛かり過ぎます

- bnc#848014 - [HP HPS] 46 ビットのメモリアドレス指定の 8 ブレード nPar での Xen ハイパーバイザーパニックを修正

- bnc#833251 - [HP BCS SLES11 Bug]:HP の UEFI x86_64 プラットフォームの xen 環境におけるブート段階で、xen ハイパーバイザーが混乱します。

- pygrub:(/dev/xvda)スタイルディスク仕様をサポートします

- bnc#849667 - CVE-2014-1895:xen:XSA-74:page_alloc_lock と mm_rwlock の間のロック順序逆転

- bnc#849668 - CVE-2013-4554:xen:XSA-76:ハイパーコールが HVM ゲストの権限リング 1 および 2 を露出

- bnc#842417 - HP の UEFI x86_64 プラットフォームと sles11sp3 の xen 環境で、dom0 が複数のブレード nPar でソフトロックアップします。

- bnc#848014 - [HP HPS] 46 ビットのメモリアドレス指定の 8 ブレード nPar での Xen ハイパーバイザーパニックを修正

- bnc#846849 - PCI パススルーと多数の VCPU のソフトロックアップ

- bnc#833483 - エラー「No memory for trampoline」(トランポリンにメモリがありません)エラーが表示される、UEFI モードでの xen カーネルとの起動エラー

- bnc#849665 - CVE-2013-4551:xen:XSA-75:ゲスト VMX 命令の実行によるホストのクラッシュ

- xend のチェックの Upstream バージョンが、「xl」コマンドを使用するとき機能しません。

- bnc#840997 - 同じノードで VM を 2 回起動することが可能です。

- bnc#848657 - xen:CVE-2013-4494:XSA-73:ページ割り当てとテーブル許可の間のロック順序逆転

ソリューション

影響を受ける xen パッケージを更新してください。

参考資料

https://bugzilla.novell.com/show_bug.cgi?id=831120

https://bugzilla.novell.com/show_bug.cgi?id=833251

https://bugzilla.novell.com/show_bug.cgi?id=833483

https://bugzilla.novell.com/show_bug.cgi?id=840997

https://bugzilla.novell.com/show_bug.cgi?id=842417

https://bugzilla.novell.com/show_bug.cgi?id=846849

https://bugzilla.novell.com/show_bug.cgi?id=848014

https://bugzilla.novell.com/show_bug.cgi?id=848657

https://bugzilla.novell.com/show_bug.cgi?id=849665

https://bugzilla.novell.com/show_bug.cgi?id=849667

https://bugzilla.novell.com/show_bug.cgi?id=849668

https://bugzilla.novell.com/show_bug.cgi?id=853048

https://bugzilla.novell.com/show_bug.cgi?id=853049

https://bugzilla.novell.com/show_bug.cgi?id=858311

https://bugzilla.novell.com/show_bug.cgi?id=858496

https://bugzilla.novell.com/show_bug.cgi?id=860163

https://bugzilla.novell.com/show_bug.cgi?id=860165

https://bugzilla.novell.com/show_bug.cgi?id=860300

https://bugzilla.novell.com/show_bug.cgi?id=860302

https://bugzilla.novell.com/show_bug.cgi?id=861256

https://bugzilla.novell.com/show_bug.cgi?id=863297

https://lists.opensuse.org/opensuse-updates/2014-04/msg00010.html

プラグインの詳細

深刻度: High

ID: 75312

ファイル名: openSUSE-2014-271.nasl

バージョン: 1.5

タイプ: local

エージェント: unix

公開日: 2014/6/13

更新日: 2021/1/19

サポートされているセンサー: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.0

CVSS v2

リスクファクター: High

Base Score: 8.3

Temporal Score: 7.2

ベクトル: CVSS2#AV:A/AC:L/Au:N/C:C/I:C/A:C

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:xen, p-cpe:/a:novell:opensuse:xen-debugsource, p-cpe:/a:novell:opensuse:xen-devel, p-cpe:/a:novell:opensuse:xen-doc-html, p-cpe:/a:novell:opensuse:xen-doc-pdf, p-cpe:/a:novell:opensuse:xen-kmp-default, p-cpe:/a:novell:opensuse:xen-kmp-default-debuginfo, p-cpe:/a:novell:opensuse:xen-kmp-desktop, p-cpe:/a:novell:opensuse:xen-kmp-desktop-debuginfo, p-cpe:/a:novell:opensuse:xen-kmp-pae, p-cpe:/a:novell:opensuse:xen-kmp-pae-debuginfo, p-cpe:/a:novell:opensuse:xen-libs, p-cpe:/a:novell:opensuse:xen-libs-32bit, p-cpe:/a:novell:opensuse:xen-libs-debuginfo, p-cpe:/a:novell:opensuse:xen-libs-debuginfo-32bit, p-cpe:/a:novell:opensuse:xen-tools, p-cpe:/a:novell:opensuse:xen-tools-debuginfo, p-cpe:/a:novell:opensuse:xen-tools-domu, p-cpe:/a:novell:opensuse:xen-tools-domu-debuginfo, cpe:/o:novell:opensuse:12.3

必要な KB アイテム: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2014/2/26

脆弱性公開日: 2013/8/28

参照情報

CVE: CVE-2013-2212, CVE-2013-4494, CVE-2013-4551, CVE-2013-4553, CVE-2013-4554, CVE-2013-6400, CVE-2013-6885, CVE-2014-1642, CVE-2014-1666, CVE-2014-1891, CVE-2014-1892, CVE-2014-1893, CVE-2014-1894, CVE-2014-1895, CVE-2014-1896, CVE-2014-1950

BID: 61424, 63494, 63625, 63931, 63933, 63983, 64195, 65097, 65125, 65414, 65419, 65424, 65529