OracleVM 3.3 / 3.4 glibcOVMSA-2017-0051
critical Nessus プラグイン ID 99078
Language:
概要
リモートの OracleVM ホストに 1 つ以上のセキュリティ更新プログラムがありません。説明
リモートの OracleVM システムには、重要なセキュリティ更新に対処するために必要なパッチがありません。- 潜在的な破損を修正するために newmode サイズを更新します
- nscd のある AF_INET6 getaddrinfo を修正します#1416496
- struct sockaddr_storage 変更のテストを更新します#1338673
- fopen への内部呼び出しで FL_CLOEXEC を使用します#1012343。
- の修正 CVE-2015-8779 glibccatopen 関数での無制限のスタック割り当て#1358015]
- struct sockaddr_storage のパディングを明示的にします#1338673
- Intel FMA ハードウェアの検出を修正します#1384281。
- ur_INおよびwal_ETローカルのサポートを追加(#1101858)。
- malloc/tst-malloc-thread-exit.c を変更して使用スレッドを減らしタイムアウトを回避#1318380
- df が一部のシステムで失敗する可能性があります#1307029。
- ビルド中のuname、cpuinfo、meminfoをログ(#1307029)。
- MAXSIZE_HEAPおよびMAXSIZE_STACKがゼロでない場合のみヒープおよびスタックのグラフを描画(#1331304)。
- getadddrinfo での __check_pf への不要な呼び出しを回避します#1270950
- を修正します CVE-2015-8778 glibchcreate および hcreate_r での整数オーバーフロー#1358013]
- を修正します CVE-2015-8776 glibc範囲外のデータを strftime へ受け渡すことで引き起こされるセグメンテーション違反#1358011。
- tzdata-updateumask 設定を無視#1373646
- CVE-2014-9761nan* での無制限のスタック割り当てを修正します#1358014
- getaddrinfo の初期化されていないデータの使用を回避#1223095
- CVE-2015-7547 の修正を更新してください(#1296029)。
- POSIX AIO とタイマーのために十分なスタックのあるヘルパースレッドを作成します(#1299319)。
- を修正します CVE-2015-7547getaddrinfo のスタックベースのバッファオーバーフロー#1296029。
- mallocのfree_listの循環修正を更新(#1264189)。
- tzdata-updateの変更を更新(#1200555)。
- ブロック境界での iconv の出力で、冗長なシフト文字を回避(#1293914)。
- 新しいカーネルでテストする場合テストスイートの結果を消去(#1293464)。
- シンボリックリンクの場合/etc/localtime への書き込みを禁止します。
(#1200555)
- /etc/hosts での長い行をサポートします#1020263。
- tst-rec-dlopen でのエイリアスの警告を回避#1291444
- フォークされた子プロセスのユーザーコントロールの stdio ロックを操作しません#1275384。
- 静的TLSを使用できる共有ライブラリの制限を増加(#1198802)。
- feupdateenv用libmのPLTを回避(#1186104)。
- s390/s390xで_Unwind_Find_FDE用libcへのPLTエントリを許可(#1186104)。
- glibc パッケージでのみ /etc/gai.conf を提供します。
(#1223818)
- ca_ES ロケールで、週の最初の曜日を月曜日に変更。#1011900
- BIG5-HKSCharmap を HKSCS-2008 に更新します。#1211748
- Oriya ロケールの名前を Odia に変更します。#1091334
- 不足している mutex のロック解除による gethostbyname_r のハングを回避します#1192621
- 監査モジュールがパスを提供する際の ld.so のクラッシュを回避します#1211098
- tst-malloc-backtrace で期待されるバックトレースを抑制#1276633
- memmem 用の PLT を回避します#1186104。
- Makefileの不足している依存関係を修正(#1219627)。
- __tz_convertでのロックコンテンションを低減(#1244585)。
- malloc arena のフリーリストが循環的になることを防止#1264189
- レガシー IA64 サポートを削除します#1246145。
- _int_pvalloc の NULL アリーナポインターをチェックします(#1246656)。
- no_dyn_threshold on mallopt エラーの no_dyn_threshold を変更しません(#1246660)。
- calloc における割り当て後にメインアリーナのロックを解除します(#1245731)。
- 堅牢な malloc の変更を再度有効にします(#1245731)。
- 解放時の malloc の混乱を修正し、単純に perturb_byte を実行します(#1245731)。
- 時期尚早に mmap にフォールバックしません(#1245731)。
- malloc のデッドロック回避サポートが一時的に削除されました。特定のアプリケーションでデッドロックを発生させるためです(#1243824)。
ソリューション
影響を受けるパッケージを更新してください。参考資料
http://www.nessus.org/u?583f14a4
プラグインの詳細
深刻度: Critical
ID: 99078
ファイル名: oraclevm_OVMSA-2017-0051.nasl
バージョン: 3.7
タイプ: local
公開日: 2017/3/30
更新日: 2026/1/14
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: High
スコア: 7.4
CVSS v2
リスクファクター: High
基本値: 7.5
現状値: 6.2
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS スコアのソース: CVE-2015-8779
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 9.1
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:F/RL:O/RC:C
脆弱性情報
CPE: cpe:/o:oracle:vm_server:3.3, p-cpe:/a:oracle:vm:glibc-devel, p-cpe:/a:oracle:vm:glibc-headers, p-cpe:/a:oracle:vm:glibc-common, cpe:/o:oracle:vm_server:3.4, p-cpe:/a:oracle:vm:nscd, p-cpe:/a:oracle:vm:glibc
必要な KB アイテム: Host/local_checks_enabled, Host/OracleVM/release, Host/OracleVM/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2017/3/29
脆弱性公開日: 2016/2/18
エクスプロイト可能
Core Impact
参照情報
CVE: CVE-2014-9761, CVE-2015-7547, CVE-2015-8776, CVE-2015-8778, CVE-2015-8779
TRA: TRA-2017-08