OracleVM 3.4:xen (OVMSA-2019-0016) (MDSUM/RIDL) (MFBDS/RIDL/ZombieLoad) (MLPDS/RIDL) (MSBDS/Fallout)

medium Nessus Plugin ID 125104

Synopsis

遠端 OracleVM 主機缺少一個或多個安全性更新。

描述

遠端 OracleVM 系統缺少可解決重大安全性更新的必要修補程式:

- BUILDINFO:OVMF commit=173bf5c847e3ca8b42c11796ce048d8e2e916ff8

- BUILDINFO:xen commit=3885a020649df84b883ea20d11ca15b7d7640201

- BUILDINFO:QEMU 上游 commit=8bff6989bd0bafcc0ddf859c23ce6a2ff21a80ff

- BUILDINFO:傳統 QEMU commit=346fdd7edd73f8287d0d0a2bab9c67b71bc6b8ba

- BUILDINFO:IPXE commit=9a93db3f0947484e30e753bbd61a10b17336e20e

- BUILDINFO:SeaBIOS commit=7d9cbe613694924921ed1a6f8947d711c5832eee

- x86/HVM:請勿給人以 WRMSR 成功的錯誤印象(根用戶)

- BUILDINFO:OVMF commit=173bf5c847e3ca8b42c11796ce048d8e2e916ff8

- BUILDINFO:xen commit=71714f34026c4e0b105bf2def8d2dc4c7171d5b8

- BUILDINFO:QEMU 上游 commit=8bff6989bd0bafcc0ddf859c23ce6a2ff21a80ff

- BUILDINFO:傳統 QEMU commit=346fdd7edd73f8287d0d0a2bab9c67b71bc6b8ba

- BUILDINFO:IPXE commit=9a93db3f0947484e30e753bbd61a10b17336e20e

- BUILDINFO:SeaBIOS commit=7d9cbe613694924921ed1a6f8947d711c5832eee

- Red-tape:使用 XSA-297 的新 CVE 更新 repo (Patrick Colp) [Orabug:29725297] (CVE-2019-11091)

- x86/spec-ctl:向客體洩漏 X86_FEATURE_MD_CLEAR (Patrick Colp) [Orabug:29677162] (CVE-2018-12126) (CVE-2018-12127) (CVE-2018-12130)

- x86/spec-ctrl:引入選項以控制 VERW 刷新 (Andrew Cooper) [Orabug:2977162] (CVE-2018-12126) (CVE-2018-12127) (CVE-2018-12130) (CVE-2018-12126) (CVE-2018-12127) (CVE-2018-12130)

- x86/spec-ctrl:使用 VERW 刷新管道緩衝區的基礎架構 (Andrew Cooper) [Orabug:29677162] (CVE-2018-12126) (CVE-2018-12127) (CVE-2018-12130) (CVE-2018-12126) (CVE-2018-12127) (CVE-2018-12130)

- x86/spec-ctrl:微架構數據採樣的 CPUID/MSR 定義 (Andrew Cooper) [Orabug:29677162] (CVE-2018-12126) (CVE-2018-12127) (CVE-2018-12130) (CVE-2018-12126) (CVE-2018-12127) (CVE-2018-12130)

- BUILDINFO:OVMF commit=173bf5c847e3ca8b42c11796ce048d8e2e916ff8

- BUILDINFO:xen commit=0d8ecd7732e56484c10e4b584de17d360d940252

- BUILDINFO:QEMU 上游 commit=8bff6989bd0bafcc0ddf859c23ce6a2ff21a80ff

- BUILDINFO:傳統 QEMU commit=346fdd7edd73f8287d0d0a2bab9c67b71bc6b8ba

- BUILDINFO:IPXE commit=9a93db3f0947484e30e753bbd61a10b17336e20e

- BUILDINFO:SeaBIOS commit=7d9cbe613694924921ed1a6f8947d711c5832eee

- 組態:更新 git 鏈接以使用 linux-git.us.oracle.com (Patrick Colp)

- gnttab:為 copy-on-grant-transfer 設置頁面引用計數

解決方案

更新受影響的 xen / xen-tools 套件。

另請參閱

https://oss.oracle.com/pipermail/oraclevm-errata/2019-May/000939.html

Plugin 詳細資訊

嚴重性: Medium

ID: 125104

檔案名稱: oraclevm_OVMSA-2019-0016.nasl

版本: 1.4

類型: local

已發布: 2019/5/15

已更新: 2020/1/17

風險資訊

VPR

風險因素: High

分數: 7.1

CVSS v2

風險因素: Medium

基本分數: 4.7

時間分數: 3.5

媒介: AV:L/AC:M/Au:N/C:C/I:N/A:N

時間媒介: E:U/RL:OF/RC:C

CVSS 評分資料來源: CVE-2019-11091

CVSS v3

風險因素: Medium

基本分數: 5.6

時間分數: 4.9

媒介: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:N/A:N

時間媒介: E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:oracle:vm:xen, p-cpe:/a:oracle:vm:xen-tools, cpe:/o:oracle:vm_server:3.4

必要的 KB 項目: Host/local_checks_enabled, Host/OracleVM/release, Host/OracleVM/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2019/5/14

弱點發布日期: 2019/5/30

參考資訊

CVE: CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091