OracleVM 3.3:Unbreakable /等 (OVMSA-2017-0168)
high Nessus Plugin ID 104454
語系:
概要
遠端 OracleVM 主機缺少一個或多個安全性更新。說明
遠端 OracleVM 系統缺少可解決重大安全性更新的必要修補程式:- nvme:在 dma_pool_alloc() 之前刪除 nvmeq->q_lock,以防止硬式鎖定 (Aruna Ramakrishna) [Orabug:
25409587]
- nvme:處理 PM1725 HIL 重設 (Martin K. Petersen) [Orabug:26277600]
- char: lp:修復 lp_setup 中可能的整數溢位 (Willy Tarreau) [Orabug:26403940] (CVE-2017-1000363)
- ALSA:timer:修復 SNDRV_TIMER_IOCTL_SELECT 中缺少的佇列指數重設 (Takashi Iwai) [Orabug:
26403956] (CVE-2017-1000380)
- ALSA:timer:修復讀取和 ioctl 之間的爭用 (Takashi Iwai) [Orabug:26403956] (CVE-2017-1000380)
ALSA: timer:修復 read()/ioctl() 爭用中的空指標解除參照 (Vegard Nossum) [Orabug:26403956] (CVE-2017-1000380)
- ALSA:timer:修復 racy 存取造成的負佇列使用 (Takashi Iwai) [Orabug:26403956] (CVE-2017-1000380)
- ALSA:timer:在併發讀取時修復爭用 (Takashi Iwai) [Orabug:26403956] (CVE-2017-1000380)
- ALSA:timer:修復計時器 ioctl 之間的爭用 (Takashi Iwai) [Orabug:26403956] (CVE-2017-1000380)
- ipv6/dccp:不繼承父項的 ipv6_mc_list (WANG Cong) [Orabug:26404005] (CVE-2017-9077)
- ocfs2:修復在 vfs 入口點進行 inode 鎖定時的死鎖問題 (Eric Ren) [Orabug:26427126] - ocfs2/dlmglue:準備跟蹤邏輯以避免遞歸群集鎖定 (Eric Ren) [Orabug:26427126] - ping:
實作適當的鎖定 (Eric Dumazet) [Orabug:
26540286] (CVE-2017-2671)
- aio:標示 AIO pseudo-fs noexec (Jann Horn) [Orabug:
26643598] (CVE-2016-10044)
- vfs:設法絕不在 proc 和 sysfs 上出現執行檔。(Eric W. Biederman) [Orabug:26643598] (CVE-2016-10044)
- vfs、writeback:使用 SB_I_CGROUPWB 取代 FS_CGROUP_WRITEBACK (Tejun Heo) [Orabug:26643598] (CVE-2016-10044)
- x86/acpi:防止損毀的 ACPI 表造成的越界存取 (Seunghun Han) [Orabug:26643645] (CVE-2017-11473)
- sctp:不要從父級繼承 ipv6_[mc|ac|fl]_list (Eric Dumazet) [Orabug:26650883] (CVE-2017-9075)
- [media] saa7164:修復雙重擷取 PCIe 存取條件 (Steven Toth) [Orabug:26675142] (CVE-2017-8831)
- [media] saa7164:修復疏鬆警告 (Hans Verkuil) [Orabug:26675142] (CVE-2017-8831)
- fs:在 AOP_TRUNCATED_PAGE 上執行 __generic_file_splice_read 重試查詢 (Abhi Das) [Orabug:26797306] - timerfd:正確保護可能的取消機制 (Thomas Gleixner) [Orabug:26899787] (CVE-2017-10661)
- scsi:scsi_transport_iscsi:修復 iscsi_if_rx 不能正確剖析 nlmsg 的問題 (Xin Long) [Orabug:26988627] (CVE-2017-14489)
解決方案
更新受影響的 kernel-uek / kernel-uek-firmware 套件。另請參閱
Plugin 詳細資訊
嚴重性: High
ID: 104454
檔案名稱: oraclevm_OVMSA-2017-0168.nasl
版本: 3.5
類型: local
已發布: 2017/11/8
已更新: 2021/1/4
支援的感應器: Nessus
風險資訊
VPR
風險因素: High
分數: 7.4
CVSS v2
風險因素: High
基本分數: 7.6
時間分數: 6
媒介: CVSS2#AV:N/AC:H/Au:N/C:C/I:C/A:C
CVSS v3
風險因素: High
基本分數: 7.8
時間分數: 7
媒介: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:P/RL:O/RC:C
弱點資訊
CPE: p-cpe:/a:oracle:vm:kernel-uek, p-cpe:/a:oracle:vm:kernel-uek-firmware, cpe:/o:oracle:vm_server:3.3
必要的 KB 項目: Host/local_checks_enabled, Host/OracleVM/release, Host/OracleVM/rpm-list
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2017/11/7
弱點發布日期: 2017/2/7
參考資訊
CVE: CVE-2016-10044, CVE-2017-1000363, CVE-2017-1000380, CVE-2017-10661, CVE-2017-11473, CVE-2017-14489, CVE-2017-2671, CVE-2017-8831, CVE-2017-9075, CVE-2017-9077