OracleVM 3.4:Unbreakable /等 (OVMSA-2018-0284)

medium Nessus Plugin ID 119292
新推出!Plugin 嚴重性目前使用 CVSS v3

計算 Plugin 嚴重性已更新為預設使用 CVSS v3 沒有 CVSS v3 評分的 Plugin 會回歸到以 CVSS v2 計算嚴重性。您可在設定下拉式選單中切換顯示嚴重性的喜好設定

Synopsis

遠端 OracleVM 主機缺少一個或多個安全性更新。

描述

遠端 OracleVM 系統缺少可解決重大安全性更新的必要修補程式:

- 還原提交 8bd274934987 (「block:修復 bdi 與 gendisk 存留期不相符」) (Ashish Samant) [Orabug:28968102]

- KVM/x86:新增 IBPB 支援 (Ashok Raj) [Orabug:28703712]

- x86/intel/spectre_v2:移除多餘的 retp_compiler 測試 (Boris Ostrovsky) [Orabug:28814570]

- x86/intel/spectre_v4:棄用 spec_store_bypass_disable=userspace (Boris Ostrovsky) [Orabug:28814570]

- x86/推測:需要無條件呼叫 x86_spec_ctrl_set (Boris Ostrovsky) [Orabug:28814570]

- x86/推測:刪除未使用的 DISABLE_IBRS_CLOBBER 巨集 (Boris Ostrovsky) [Orabug:28814570]

- x86/intel/spectre_v4:當 IBRS 處於使用狀態時,保留 SPEC_CTRL_SSBD (Boris Ostrovsky) [Orabug:28814570]

- net:net_failover:修復 net_failover_slave_register 中的拼寫錯誤 (Liran Alon) [Orabug:
28122104]

- virtio_net:如果可用,擴充 virtio 以使用 VF 資料路徑 (Sridhar Samudrala) [Orabug:28122104]

- virtio_net:引入 VIRTIO_NET_F_STANDBY 功能位元 (Sridhar Samudrala) [Orabug:28122104]

- net:引入 net_failover 驅動程式 (Sridhar Samudrala) [Orabug:28122104]

- net:引入通用容錯移轉模組 (Sridhar Samudrala) [Orabug:28122104]

- net:對 LAG 小寫引入變更的小寫狀態資訊結構 (Jiri Pirko) [Orabug:28122104]

- net:使用變更小寫狀態通知程式 (Jiri Pirko) [Orabug:28122104]

- net:對 LAG 變更大寫新增資訊結構 (Jiri Pirko) [Orabug:28122104]

- net:透過通知程式,新增傳遞有關大寫裝置資訊的可能性 (Jiri Pirko) [Orabug:28122104]

- net:檢查 CHANGEUPPER 通知程式傳回值 (Ido Schimmel) [Orabug:28122104]

- net:引入變更大寫裝置通知程式變更資訊 (Jiri Pirko)

- x86/錯誤:重建 x86_spec_ctrl_set,以明確其變更 (Daniel Jordan) [Orabug:28271063]

- x86/錯誤:將 ssbd_ibrs_selected 重新命名為 ssbd_userspace_selected (Daniel Jordan) [Orabug:
28271063]

- x86/錯誤:設定 spec ctrl MSR 時,一律使用 x86_spec_ctrl_base 或 _priv (Daniel Jordan) [Orabug:28271063]

- xen-blkfront:使用 negotiate_mq 錯誤路徑修復核心錯誤 (Manjunath Patil) [Orabug:28798861]

- scsi:lpfc:更正 MDS 診斷和 nvmet 組態 (James Smart)

- scsi:virtio_scsi:由主機執行異常處理 (Paolo Bonzini)

- net/rds:修復無限 RNR 情況 (Venkat Venkatsubra) [Orabug:28857027]

- scsi:sg:在 sg_build_indirect 中使用 __GFP_ZERO 進行配置 (Alexander Potapenko) [Orabug:28892656] (CVE-2018-1000204)

- cdrom:修復可能導致資訊洩漏的錯誤類型轉換。(Young_X) [Orabug:28929767] (CVE-2018-16658) (CVE-2018-10940) (CVE-2018-18710)

解決方案

更新受影響的 kernel-uek / kernel-uek-firmware 套件。

另請參閱

http://www.nessus.org/u?99e26a29

Plugin 詳細資訊

嚴重性: Medium

ID: 119292

檔案名稱: oraclevm_OVMSA-2018-0284.nasl

版本: 1.3

類型: local

已發布: 2018/11/30

已更新: 2020/6/18

相依性: ssh_get_info.nasl

風險資訊

CVSS 評分資料來源: CVE-2018-1000204

VPR

風險因素: Medium

分數: 4.2

CVSS v2

風險因素: Medium

基本分數: 6.3

時間分數: 4.7

媒介: CVSS2#AV:N/AC:M/Au:S/C:C/I:N/A:N

時間媒介: CVSS2#E:U/RL:OF/RC:C

CVSS v3

風險因素: Medium

基本分數: 5.3

時間分數: 4.6

媒介: CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: cpe:2.3:o:oracle:vm_server:3.4:*:*:*:*:*:*:*, p-cpe:2.3:a:oracle:vm:kernel-uek:*:*:*:*:*:*:*, p-cpe:2.3:a:oracle:vm:kernel-uek-firmware:*:*:*:*:*:*:*

必要的 KB 項目: Host/local_checks_enabled, Host/OracleVM/release, Host/OracleVM/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2018/11/29

弱點發布日期: 2018/5/9

參考資訊

CVE: CVE-2018-1000204, CVE-2018-16658, CVE-2018-10940, CVE-2018-18710