OracleVM 3.4:Unbreakable /等 (OVMSA-2019-0023) (MFBDS/RIDL/ZombieLoad) (MLPDS/RIDL)

medium Nessus Plugin ID 125664

概要

遠端 OracleVM 主機缺少一個或多個安全性更新。

說明

遠端 OracleVM 系統缺少可解決重大安全性更新的必要修補程式:

- x86/推測/mds:設定緩解措施前檢查正確的微碼 (Kanth Ghatraju) [Orabug:
29797118]

- vxlan:先測試 dev->flags 和 IFF_UP,然後再訪問 vxlan->dev->dev_addr (Venkat Venkatsubra) [Orabug:
29710939]

- vxlan:先測試 dev->flags 和 IFF_UP,然後再呼叫 gro_cells_receive (Eric Dumazet) [Orabug:29710939]

- nvme:允許逾時 ios 進行重試 (James Smart) [Orabug:29301607]

- rds:引入用於連線管理的工作執行緒集區 (H&aring kon Bugge) [Orabug:29391909]

- rds:適用時,使用 rds_conn_path cp_wq (H&aring kon Bugge) [Orabug:29391909]

- rds:ib:正確實作 cm_id 比較 (H&aring kon Bugge) [Orabug:29391909]

- 還原「net/rds:使用過時的 ARP 項目阻止 RDS 連線」(H&aring kon Bugge) [Orabug:29391909]

- rds:ib:需要時排清 ARP 快取 (H&aring kon Bugge) [Orabug:29391909]

- rds:新增簡單的啟發式方法以確定連線延遲 (H&aring kon Bugge) [Orabug:29391909]

- rds:修復單方連線 (H&aring kon Bugge) [Orabug:
29391909]

- rds:合併和對齊與連線管理有關的 ftrace (H&aring kon Bugge) [Orabug:29391909]

- rds:ib:修復免費的 ARP 風暴 (H&aring kon Bugge) [Orabug:29391909]

- IB/mlx4:增加 CM 快取的逾時 (H&aring kon Bugge) [Orabug:29391909]

- kvm/推測:即使主機不允許,也要允許 KVM 客體機使用 SSBD (Alejandro Jimenez) [Orabug:29423804]

- x86/推測:當使用 spec_store_bypass_disable=on 時,保持打開增強的 IBRS (Alejandro Jimenez) [Orabug:29423804]

- x86/推測:清理 bugs_64.c 中增強的 IBRS 檢查 (Alejandro Jimenez) [Orabug:29423804]

- mm:thp:緩解 MADV_HUGEPAGE 映射的 __GFP_THISNODE (Andrea Arcangeli) [Orabug:29510356]

- bnxt_en:在 RX 緩衝區錯誤時重設裝置。(Michael Chan) [Orabug:29651238]

- x86/緩解措施:修復針對 Xen PV 客體的測試 (Boris Ostrovsky) [Orabug:29774291]

- x86/推測/mds:修復 verw 使用以利用記憶體運算元 (Kanth Ghatraju) [Orabug:29791036] (CVE-2018-12127) (CVE-2018-12130)

解決方案

更新受影響的 kernel-uek / kernel-uek-firmware 套件。

另請參閱

https://oss.oracle.com/pipermail/oraclevm-errata/2019-June/000942.html

Plugin 詳細資訊

嚴重性: Medium

ID: 125664

檔案名稱: oraclevm_OVMSA-2019-0023.nasl

版本: 1.5

類型: local

已發布: 2019/6/3

已更新: 2022/12/6

支援的感應器: Nessus

風險資訊

VPR

風險因素: High

分數: 7.1

CVSS v2

風險因素: Medium

基本分數: 4.7

時間分數: 3.5

媒介: CVSS2#AV:L/AC:M/Au:N/C:C/I:N/A:N

CVSS 評分資料來源: CVE-2018-12130

CVSS v3

風險因素: Medium

基本分數: 5.6

時間分數: 4.9

媒介: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:N/A:N

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:oracle:vm:kernel-uek, p-cpe:/a:oracle:vm:kernel-uek-firmware, cpe:/o:oracle:vm_server:3.4

必要的 KB 項目: Host/local_checks_enabled, Host/OracleVM/release, Host/OracleVM/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2019/6/2

弱點發布日期: 2019/5/30

參考資訊

CVE: CVE-2018-12127, CVE-2018-12130