偵測

Oracle Linux 8:核心 (ELSA-2020-2102)

high Nessus Plugin ID 136646

語系:

概要

遠端 Oracle Linux 主機缺少一個或多個安全性更新。

說明

遠端 Oracle Linux 8 主機中安裝的套件受到 ELSA-2020-2102 公告中提及的多個弱點影響。

 - 啟用巢狀虛擬化時,在 KVM Hypervisor 處理 L2 客體機指令模擬的方式中發現缺陷。在某些情況下,L2 客體可能會誘騙 L0 客體存取 L2 客體應該無法存取的敏感 L1 資源。(CVE-2020-2732)

 - 在 Linux 核心 5.7 版本之前的 SELinux 子系統中發現 NULL 指標解除參照缺陷。
 此缺陷會在透過「ebitmap_netlbl_import」常式將商業 IP 安全性選項 (CIPSO) 通訊協定的類別點陣圖匯入 SELinux 可延伸點陣圖時發生。在處理「cipso_v4_parsetag_rbm」常式中的 CIPSO 受限點陣圖標籤時,其會設定安全性屬性以指示類別點陣圖存在,即使尚未配置也是如此。將相同類別的點陣圖匯入 SELinux 時,此問題會導致 NULL 指標解除參照問題。遠端網路使用者可利用此缺陷損毀系統核心,進而導致拒絕服務。(CVE-2020-10711)

 - 在 S390 平台上 5.6.7 及之前版本的 Linux 核心 4.19 中,可能會由於爭用情形發生程式碼執行錯誤 (即 CID-3f777e19d171),例如,enable_sacf_uaccess in arch/s390/lib/uaccess.c 中的程式碼未能防止並發頁表升級。也可能發生當機。(CVE-2020-11884)

請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼。

解決方案

更新受影響的套件。

另請參閱

https://linux.oracle.com/errata/ELSA-2020-2102.html

Plugin 詳細資訊

嚴重性: High

ID: 136646

檔案名稱: oraclelinux_ELSA-2020-2102.nasl

版本: 1.4

類型: local

代理程式: unix

已發布: 2020/5/15

已更新: 2021/9/8

支援的感應器: Frictionless Assessment Agent, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.7

CVSS v2

風險因素: Medium

基本分數: 6.9

時間分數: 5.1

媒介: CVSS2#AV:L/AC:M/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2020-11884

CVSS v3

風險因素: High

基本分數: 7

時間分數: 6.1

媒介: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:oracle:linux:kernel, p-cpe:/a:oracle:linux:kernel-abi-whitelists, p-cpe:/a:oracle:linux:kernel-core, p-cpe:/a:oracle:linux:kernel-cross-headers, p-cpe:/a:oracle:linux:kernel-debug, p-cpe:/a:oracle:linux:kernel-debug-core, p-cpe:/a:oracle:linux:kernel-debug-devel, p-cpe:/a:oracle:linux:kernel-debug-modules, p-cpe:/a:oracle:linux:kernel-debug-modules-extra, p-cpe:/a:oracle:linux:kernel-devel, p-cpe:/a:oracle:linux:kernel-headers, p-cpe:/a:oracle:linux:kernel-modules, p-cpe:/a:oracle:linux:kernel-modules-extra, p-cpe:/a:oracle:linux:kernel-tools, p-cpe:/a:oracle:linux:kernel-tools-libs, p-cpe:/a:oracle:linux:kernel-tools-libs-devel, p-cpe:/a:oracle:linux:perf, p-cpe:/a:oracle:linux:python3-perf, cpe:/o:oracle:linux:8, p-cpe:/a:oracle:linux:bpftool

必要的 KB 項目: Host/OracleLinux, Host/RedHat/release, Host/RedHat/rpm-list, Host/local_checks_enabled

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2020/5/13

弱點發布日期: 2020/2/28

參考資訊

CVE: CVE-2020-10711, CVE-2020-11884, CVE-2020-2732

RHSA: 2020:2102