OracleVM 3.4:Unbreakable /等 (OVMSA-2019-0022)
medium Nessus Plugin ID 125615
語系:
概要
遠端 OracleVM 主機缺少一個或多個安全性更新。說明
遠端 OracleVM 系統缺少可解決重大安全性更新的必要修補程式:- scsi:libfc:清理 E_D_TOV 和 R_A_TOV 設定 (Hannes Reinecke) [Orabug:25933179]
- scsi:libfc:使用配置的 rport E_D_TOV (Hannes Reinecke) [Orabug:25933179]
- scsi:libfc:其他除錯訊息 (Hannes Reinecke) [Orabug:25933179]
- scsi:libfc:不要對傳入的 FLOGI 升級狀態機器 (Hannes Reinecke) [Orabug:25933179]
- scsi:libfc:如果連接埠已啟動,不要登入 (Hannes Reinecke) [Orabug:25933179]
- scsi:libfc:不要下拉至 FLOGI 以進行 fc_rport_login (Hannes Reinecke) [Orabug:25933179]
- scsi:libfc:當處理 -FC_EX_CLOSED ELS 回應時,不要採用 rdata->rp_mutex。(Chad Dupuis) [Orabug:
25933179]
- scsi:libfc:修復 disc_mutex 處理 (Hannes Reinecke) [Orabug:25933179]
- xve:arm ud tx cq 以生成完成中斷 (Ajaykumar Hotchandani) [Orabug:28267050]
- net:sched:無鎖定的情況下,執行輸入 qdisc (Alexei Starovoitov) [Orabug:29395374]
- bnxt_en:修復韌體訊息逾時邏輯中的拼寫錯誤。
(Michael Chan) [Orabug:29412112]
- bnxt_en:等待韌體訊息回應完成的時間更久。(Michael Chan) [Orabug:29412112]
- mm,vmscan:如果 register_shrinker 失敗,使 unregister_shrinker 成為無作業。(Tetsuo Handa) [Orabug:
29456281]
- X.509:在 GeneralizedTime 中處理午夜替代標記法 (David Howells) [Orabug:29460344] (CVE-2015-5327)
- X.509:支援閏秒 (David Howells) [Orabug:
29460344] (CVE-2015-5327)
- X.509:修復時間驗證 [第 #2 版] (David Howells) [Orabug:29460344] (CVE-2015-5327) (CVE-2015-5327)
- be2net:在核心配置中啟用新的 Kconfig 項目 (Brian Maly) [Orabug:29475071]
- benet:移除損毀和未使用的巨集 (Lubomir Rintel) [Orabug:29475071]
- be2net:當新增/刪除 VXLAN 時,不要翻轉 hw_features (Davide Caratti) [Orabug:29475071]
- be2net:修復 be_cmd_get_profile_config 中的記憶體洩漏 (Petr Oros) [Orabug:29475071]
- be2net:使用 Kconfig 旗標以支援啟用/停用轉接器 (Petr Oros) [Orabug:
29475071]
- be2net:標記預期的切換貫穿執行 (fall-through) (Gustavo A. R.
Silva) [Orabug:29475071]
- be2net:修復拼寫錯誤「seqence」->「sequence」(Colin Ian King) [Orabug:29475071]
- be2net:將驅動程式版本更新為 12.0.0.0 (Suresh Reddy) [Orabug:29475071]
- be2net:在 tx-timeout 上,收集除錯資訊和重設轉接器 (僅適用於 Lancer) (Suresh Reddy) [Orabug:
29475071]
- be2net:移動 rss_info 中的 rss_flags 欄位以確保正確對齊 (Ivan Vecera) [Orabug:29475071]
- be2net:重新排序 be_error_recovert 中的欄位以避免漏洞 (Ivan Vecera) [Orabug:29475071]
- be2net:從 be_tx_stats 移除未使用的 tx_jiffies 欄位 (Ivan Vecera) [Orabug:29475071]
- be2net:移動 be_tx_obj 中的 txcp 欄位以消除結構中的漏洞 (Ivan Vecera) [Orabug:29475071]
- be2net:重新排序 be_eq_obj 結構中的欄位 (Ivan Vecera) [Orabug:29475071]
- be2net:移除未使用的舊自訂 busy-poll 欄位 (Ivan Vecera) [Orabug:29475071]
- be2net:移除未使用的舊 AIC 資訊 (Ivan Vecera) [Orabug:29475071]
- be2net:修復 BE3 的錯誤偵測邏輯 (Suresh Reddy) [Orabug:29475071]
- scsi:sd:不要覆寫 max_sectors_kb sysfs 設定 (Martin K. Petersen) [Orabug:29596510]
- USB:serial:io_ti:修復 set_termios 中的除以零錯誤 (Johan Hovold) [Orabug:29487834] (CVE-2017-18360)
- bnxt_en:丟棄過大的 TX 封包以防止錯誤。
(Michael Chan) [Orabug:29516462]
- x86/推測:在 x86_virt_spec_ctrl 中,讀取 x86_spec_ctrl_priv 的 per-cpu 值 (Alejandro Jimenez) [Orabug:29526401]
- x86/推測:當 prctl 用於 SSBD 控制時,保持打開增強的 IBRS (Alejandro Jimenez) [Orabug:
29526401]
- USB:hso:修復 hso_probe/hso_get_config_data 中的 OOB 記憶體存取 (Hui Peng) [Orabug:
29605982] (CVE-2018-19985) (CVE-2018-19985)
- swiotlb:在離開關鍵區段前,將 io_tlb_used 儲存到本機變數 (Dongli Zhang) [Orabug:
29637525]
- swiotlb:當 swiotlb 緩衝區已滿時,轉儲存已使用和總插槽 (Dongli Zhang) [Orabug:29637525]
- x86/錯誤、kvm:使用 IBRS 時,不要遺漏 SSBD。
(Quentin Casasnovas) [Orabug:29642113]
- cifs:修復 mid_q_entry 的釋放後使用 (Shuning Zhang) [Orabug:29654888]
- binfmt_elf:切換到新 mm 時,切換到新 creds (Linus Torvalds) [Orabug:29677233] (CVE-2019-11190)
- x86/微碼:如果不需要微碼更新,則不傳回錯誤 (Boris Ostrovsky) [Orabug:29759756]
解決方案
更新受影響的 kernel-uek / kernel-uek-firmware 套件。另請參閱
https://oss.oracle.com/pipermail/oraclevm-errata/2019-May/000941.html
Plugin 詳細資訊
嚴重性: Medium
ID: 125615
檔案名稱: oraclevm_OVMSA-2019-0022.nasl
版本: 1.5
類型: local
已發布: 2019/5/31
已更新: 2024/5/17
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 4.4
CVSS v2
風險因素: Medium
基本分數: 4.7
時間分數: 3.7
媒介: CVSS2#AV:L/AC:M/Au:N/C:C/I:N/A:N
CVSS 評分資料來源: CVE-2019-11190
CVSS v3
風險因素: Medium
基本分數: 6.5
時間分數: 5.9
媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
時間媒介: CVSS:3.0/E:P/RL:O/RC:C
CVSS 評分資料來源: CVE-2015-5327
弱點資訊
CPE: p-cpe:/a:oracle:vm:kernel-uek, cpe:/o:oracle:vm_server:3.4, p-cpe:/a:oracle:vm:kernel-uek-firmware
必要的 KB 項目: Host/local_checks_enabled, Host/OracleVM/release, Host/OracleVM/rpm-list
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2019/5/30
弱點發布日期: 2017/9/25
參考資訊
CVE: CVE-2015-5327, CVE-2017-18360, CVE-2018-19985, CVE-2019-11190