Oracle Linux 7: qemu-kvm(ELSA-2015-0349)

high Nessus プラグイン ID 81803

概要

リモートの Oracle Linux ホストに、1 つ以上のセキュリティ更新プログラムがありません。

説明

リモートの Oracle Linux 7 ホストに、ELSA-2015-0349アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

- 解決 bz#1169456CVE-2014-8106 qemu-kvmqemu: cirrusblit 領域の不十分なチェック [rhel-7.1]
- 解決 bz#1163078CVE-2014-7840 qemu-kvmqemu ram ロード中の不十分なパラメーター検証 [rhel-7.1]
- 解決 bz#1157645CVE-2014-7815 qemu-kvmqemu: vnc クライアントサニタイズからの不十分な bits_per_pixel [rhel-7.1]
- 解決 bz#1144820CVE-2014-3640 qemu-kvmqemuslirpsosendto() における NULL ポインターデリファレンス [rhel-7.1]
- 解決 bz#1139118CVE-2014-3615 qemu-kvmQemu ゲストが高解像度を設定する際にクラッシュします [rhel-7.1]
- 解決 bz#1122147CVE-2014-5263 vmstate_xhci_event終端がないフィールドリストを修正します
- kvm-qcow1-Validate-L2-table-size-CVE-2014-0222.patch [bz#1097230]
- kvm-qcow1-Validate-image-size-CVE-2014-0223.patch [bz#1097237]
- 解決 bz#1095678CVE-2013-4148 qemu-kvmqemu virtio-net無効な状態のロードでのバッファオーバーフロー [rhel-7.1]
- 解決 bz#1095685CVE-2013-4149 qemu-kvmqemu virtio-netロード時の領域外バッファ書き込み [rhel-7.1]
- 解決 bz#1095690CVE-2013-4150 qemu-kvmqemu virtio-net無効な状態のロードでの領域外のバッファ書き込み [rhel-7.1]
- 解決 bz#1095695CVE-2013-4151 qemu-kvmqemuvirtio無効な状態のロードでの領域外バッファの書き込み [rhel-7.1]
- 解決 bz#1095707CVE-2013-4527 qemu-kvmqemu hpet無効な状態ロードでのバッファオーバーラン [rhel-7.1]
- 解決 bz#1095716CVE-2013-4529 qemu-kvmqemu hw/pci/pcie_aer.c無効な状態のロードにおけるバッファオーバーラン [rhel-7.1]
- 解決 bz#1095738CVE-2013-6399 qemu-kvmqemu virtio着信移行でのバッファオーバーラン [rhel-7.1]
- 解決 bz#1095742CVE-2013-4542 qemu-kvmqemu virtio-scsi無効な状態のロードでのバッファオーバーラン [rhel-7.1]
- 解決 bz#1095747CVE-2013-4541 qemu-kvmqemuusbpost_load 内の setup_index+setup_len の不充分なサニティチェック [rhel-7.1]
- 解決 bz#1095766CVE-2013-4535 CVE-2013-4536 qemu-kvmqemu virtioマッピング時の num_sg の不十分な検証 [rhel-7.1]
- 解決 bz#1095783CVE-2014-0182 qemu-kvmqemuvirtio無効な config_len を持つ状態ロードの領域外バッファ書き込み [rhel-7.1]
- 解決 bz#1096829CVE-2014-3461 qemu-kvmQemuusbポストロードチェックを修正 [rhel-7.1]
- 解決 bz#1097230CVE-2014-0222 qemu-kvmQemu qcow1L2 テーブルサイズを検証し、整数オーバーフローを回避します [rhel-7.1]
- 解決 bz#1097237CVE-2014-0223 qemu-kvmQemu qcow1領域外メモリアクセスを回避するために画像サイズを検証します [rhel-7.1]

Tenable は、前述の記述ブロックを Oracle Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://linux.oracle.com/errata/ELSA-2015-0349.html

プラグインの詳細

深刻度: High

ID: 81803

ファイル名: oraclelinux_ELSA-2015-0349.nasl

バージョン: 1.14

タイプ: local

エージェント: unix

公開日: 2015/3/13

更新日: 2025/4/29

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.5

CVSS v2

リスクファクター: High

基本値: 7.5

現状値: 5.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2014-7840

CVSS v3

リスクファクター: High

基本値: 7.5

現状値: 6.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

CVSS スコアのソース: CVE-2014-7815

脆弱性情報

CPE: p-cpe:/a:oracle:linux:libcacard-devel, p-cpe:/a:oracle:linux:qemu-img, p-cpe:/a:oracle:linux:qemu-kvm-common, p-cpe:/a:oracle:linux:libcacard-tools, p-cpe:/a:oracle:linux:libcacard, cpe:/o:oracle:linux:7, p-cpe:/a:oracle:linux:qemu-kvm, p-cpe:/a:oracle:linux:qemu-kvm-tools

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2015/3/12

脆弱性公開日: 2014/11/7

参照情報

CVE: CVE-2014-3640, CVE-2014-7815, CVE-2014-7840, CVE-2014-8106

BID: 66932, 66976, 67357, 67391, 67392, 67394, 67483, 69247, 69654, 70237, 70998, 71477, 71658

RHSA: 2015:0349