OracleVM 3.4:Unbreakable /等 (OVMSA-2018-0002)

high Nessus Plugin ID 105521

Synopsis

遠端 OracleVM 主機缺少一個或多個安全性更新。

描述

遠端 OracleVM 系統缺少可解決重大安全性更新的必要修補程式:

- fuse:發佈 fuse_dev_release 中的 fc->lock 後呼叫 end_queued_requests (Ashish Samant) [Orabug:26431550]

- rds:修復 rds_ib_xmit_rdma 中無訊號 wrs 的不準確統計 (H&aring kon Bugge) [Orabug:27097105]

- rds:修復無訊號 wrs 的不準確統計 (H&aring kon Bugge)

- rds:ib:修復除錯程式碼中的空指標解除參照 (H&aring kon Bugge)

- bnx2x:修復慢速路徑空損毀 (Zhu Yanjun) [Orabug:
27133587]

- rds:如果啟用 RDS netfilter 並且使用 RDS/TCP,會發生系統錯誤 (Ka-Cheong Poon) [Orabug:27150029]

- USB:serial:console:設定失敗之後,修復釋放後使用 (Johan Hovold) [Orabug:27206830] (CVE-2017-16525)

- mlx4:訂閱 PXM 通知程式 (Konrad Rzeszutek Wilk)

- xen/pci:針對 PXM (NUMA) 變更新增 PXM 節點通知程式。
(Konrad Rzeszutek Wilk)

- xen/pcifront:XenStore 通知後遍歷 PCI 匯流排 (Konrad Rzeszutek Wilk)

- uwb:正確檢查 kthread_run 傳回值 (Andrey Konovalov) [Orabug:27206880] (CVE-2017-16526)

- ALSA:usb-audio:檢查由損毀的緩衝區描述元進行的越界存取 (Takashi Iwai) [Orabug:27206923] (CVE-2017-16529)

- USB:uas:修復處理替代設定中的錯誤 (Alan Stern) [Orabug:27206999] (CVE-2017-16530)

- USB:修復 usb_set_configuration 中的越界 (Greg Kroah-Hartman) [Orabug:27207224] (CVE-2017-16531)

- HID:usbhid:修復越界錯誤 (Jaejoong Kim) [Orabug:27207918] (CVE-2017-16533)

- USB:core:修復 usb_get_bos_descriptor 中的越界訪問錯誤 (Alan Stern) [Orabug:27207970] (CVE-2017-16535)

- [media] cx231xx-cards:修復對缺少之關聯描述元的空解除參照 (Johan Hovold) [Orabug:27208047] (CVE-2017-16536)

- 將 max_t 替換為 dequeue_entity_load_avg 中的 sub_positive (Gayatri Vasudevan) [Orabug:
27222316]

- sched/fair:修復 cfs_rq 平均追蹤反向溢位 (Gayatri Vasudevan)

- KVM:nVMX:如果事件被重新插入 L2,則修復 vmx_check_nested_events 傳回值 (Liran Alon) [Orabug:
27250111]

- KVM:VMX:使用 kvm_event_needs_reinjection (Wanpeng Li) [Orabug:27250111]

- KVM:nVMX:修復擱置事件插入 (Wanpeng Li) [Orabug:27250111]

解決方案

更新受影響的 kernel-uek / kernel-uek-firmware 套件。

另請參閱

http://www.nessus.org/u?a0a54569

Plugin 詳細資訊

嚴重性: High

ID: 105521

檔案名稱: oraclevm_OVMSA-2018-0002.nasl

版本: 3.4

類型: local

已發布: 2018/1/4

已更新: 2019/9/27

風險資訊

VPR

風險因素: Medium

分數: 6.7

CVSS v2

風險因素: High

基本分數: 7.2

時間分數: 5.3

媒介: AV:L/AC:L/Au:N/C:C/I:C/A:C

時間媒介: E:U/RL:OF/RC:C

CVSS v3

風險因素: High

基本分數: 7.8

時間分數: 6.8

媒介: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

時間媒介: E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:oracle:vm:kernel-uek, p-cpe:/a:oracle:vm:kernel-uek-firmware, cpe:/o:oracle:vm_server:3.4

必要的 KB 項目: Host/local_checks_enabled, Host/OracleVM/release, Host/OracleVM/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2018/1/3

弱點發布日期: 2017/11/4

參考資訊

CVE: CVE-2017-16525, CVE-2017-16526, CVE-2017-16529, CVE-2017-16530, CVE-2017-16531, CVE-2017-16533, CVE-2017-16535, CVE-2017-16536