OracleVM 3.3 / 3.4:microcode_ctl (OVMSA-2020-0026) (Spectre)

medium Nessus Plugin ID 137739
新推出!Plugin 嚴重性目前使用 CVSS v3

計算 Plugin 嚴重性已更新為預設使用 CVSS v3 沒有 CVSS v3 評分的 Plugin 會回歸到以 CVSS v2 計算嚴重性。您可在設定下拉式選單中切換顯示嚴重性的喜好設定

Synopsis

遠端 OracleVM 主機缺少安全性更新。

描述

遠端 OracleVM 系統缺少可解決重大安全性更新的必要修補程式:

- 將 06-2d-07 更新至 0x71a

- 將 06-55-04 更新至 0x2006906

- 將 06-55-07 更新至 0x5002f01

- 透過 dracut 合併 Oracle 更改以提前載入

- 為標記為安全的 UEK4 核心在安裝時啟用延遲載入 (除 BDW-79)

- 在虛擬客體機設定 early_microcode='no' 以避免提前載入錯誤 [Orabug: 30618737]

- 將 Intel CPU 微碼更新至 microcode-20200602 版,解決了 CVE-2020-0543、CVE-2020-0548、CVE-2020-0549 (#1795353、#1795357、#1827186):

- 從修訂版 0x27 直至 0x28 的 06-3c-03/0x32 (HSW C0) 微碼更新

- 從修訂版 0x2e 直至 0x2f 的 06-3d-04/0xc0 (BDW-U/Y E0/F0) 微碼更新

- 從修訂版 0x25 直至 0x26 的 06-45-01/0x72 (HSW-U C0/D0) 微碼更新

- 從修訂版 0x1b 直至 0x1c 的 06-46-01/0x32 (HSW-H C0) 微碼更新

- 從修訂版 0x21 直至 0x22 的 06-47-01/0x22 (BDW-H/Xeon E3 E0/G0) 微碼更新

- 從修訂版 0xd6 直至 0xdc 的 06-4e-03/0xc0 (SKL-U/Y D0) 微碼更新

- 從修訂版 0x1000151 直至 0x1000157 的 06-55-03/0x97 (SKX-SP B1) 微碼更新

- 從修訂版 0x2000065 直至 0x2006906 的 06-55-04/0xb7 (SKX-SP H0/M0/U0、SKX-D M1) 微碼 ( intel-06-55-04/intel-ucode/06-55-04 中) 更新

- 從修訂版 0x400002c 直至 0x4002f01 的 06-55-06/0xbf (CLX-SP B0) 微碼更新

- 從修訂版 0x500002c 直至 0x5002f01 的 06-55-07/0xbf (CLX-SP B1) 微碼更新

- 從修訂版 0xd6 直至 0xdc 的 06-5e-03/0x36 (SKL-H/S R0/N0) 微碼更新

- 從修訂版 0xca 直至 0xd6 的 06-8e-09/0x10 (AML-Y22 H0) 微碼更新

- 從修訂版 0xca 直至 0xd6 的 06-8e-09/0xc0 (KBL-U/Y H0) 微碼更新

- 從修訂版 0xca 直至 0xd6 的 06-8e-0a/0xc0 (CFL-U43e D0) 微碼更新

- 從修訂版 0xca 直至 0xd6 的 06-8e-0b/0xd0 (WHL-U W0) 微碼更新

- 從修訂版 0xca 直至 0xd6 的 06-8e-0c/0x94 (AML-Y42 V0、CML-Y42 V0、WHL-U V0) 微碼更新

- 從修訂版 0xca 直至 0xd6 的 06-9e-09/0x2a (KBL-G/H/S/X/Xeon E3 B0) 微碼更新

- 從修訂版 0xca 直至 0xd6 的 06-9e-0a/0x22 (CFL-H/S/Xeon E3 U0) 微碼更新

- 從修訂版 0xca 直至 0xd6 的 06-9e-0b/0x02 (CFL-S B0) 微碼更新

- 從修訂版 0xca 直至 0xd6 的 06-9e-0c/0x22 (CFL-H/S P0) 微碼更新

- 從修訂版 0xca 直至 0xd6 的 06-9e-0d/0x22 (CFL-H R0) 微碼更新。

- 將 Intel CPU 微碼更新至 microcode-20200520 版 (#1839193):

- 從修訂版 0x61f 直至 0x621 的 06-2d-06/0x6d (SNB-E/EN/EP C1/M0) 微碼更新

- 從修訂版 0x718 直至 0x71a 的 06-2d-07/0x6d (SNB-E/EN/EP C2/M1) 微碼更新

- 從修訂版 0x46 直至 0x78 的 06-7e-05/0x80 (ICL-U/Y D1) 微碼更新。

- 縮小 SKL-SP/W/X 封鎖清單的範圍,排除 Server/FPGA/Fabric 區段模型 (#1835555)。

- 不要將 06-55-04 (SKL-SP/W/X) 更新至修訂版 0x2000065,預設使用 0x2000064 (#1774635)。

- 將 Intel CPU 微碼更新至 microcode-20191115 版:

- 從修訂版 0xd4 直至 0xd6 的 06-4e-03/0xc0 (SKL-U/Y D0) 更新

- 從修訂版 0xd4 直至 0xd6 的 06-5e-03/0x36 (SKL-H/S/Xeon E3 R0/N0) 更新

- 從修訂版 0xc6 直至 0xca 的 06-8e-09/0x10 (AML-Y 2+2 H0) 更新

- 從修訂版 0xc6 直至 0xca 的 06-8e-09/0xc0 (KBL-U/Y H0) 更新

- 從修訂版 0xc6 直至 0xca 的 06-8e-0a/0xc0 (CFL-U 4+3e D0) 更新

- 從修訂版 0xc6 直至 0xca 的 06-8e-0b/0xd0 (WHL-U W0) 更新

- 從修訂版 0xc6 直至 0xca 的 06-8e-0c/0x94 (AML-Y V0、CML-U 4+2 V0、WHL-U V0) 更新

- 從修訂版 0xc6 直至 0xca 的 06-9e-09/0x2a (KBL-G/X H0、KBL-H/S/Xeon E3 B0) 更新

- 從修訂版 0xc6 直至 0xca 的 06-9e-0a/0x22 (CFL-H/S/Xeon E U0) 更新

- 從修訂版 0xc6 直至 0xca 的 06-9e-0b/0x02 (CFL-S B0) 更新

- 從修訂版 0xc6 直至 0xca 的 06-9e-0c/0x22 (CFL-S/Xeon E P0) 更新

- 從修訂版 0xc6 直至 0xca 的 06-9e-0d/0x22 (CFL-H/S R0) 更新

- 從修訂版 0xc6 直至 0xca 的 06-a6-00/0x80 (CML-U 6 + 2 A0) 更新。

- 將 Intel CPU 微碼更新至 microcode-20191113 版:

- 從修訂版 0xae 直至 0xc6 的 06-9e-0c (CFL-H/S P0) 微碼更新。

- 中斷 0001-releasenote-changes-summary-fixes.patch。

- 封裝公開可用的 microcode-20191112 版 (#1755021):

- 新增 06-4d-08/0x1 (AVN B0/C0) 微碼的修訂版 0x12d

- 新增 06-55-06/0xbf (CSL-SP B0) 微碼的修訂版 0x400002c

- 新增 06-7a-08/0x1 (GLK R0) 微碼的修訂版 0x16

- 從修訂版 0x1000150 直至 0x1000151 的 06-55-03/0x97 (SKL-SP B1) 微碼更新

- 從修訂版 0x2000064 直至 0x2000065 的 06-55-04/0xb7 (SKL-SP H0/M0/U0、SKL-D M1) 微碼更新

- 從修訂版 0x500002b 直至 0x500002c 的 06-55-07/0xbf (CSL-SP B1) 微碼更新

- 從修訂版 0x2e 直至 0x32 的 06-7a-01/0x1 (GLK B0) 微碼更新

- 納入從 microcode-20190918 版本起的 06-9e-0c (CFL-H/S P0) 微碼。

- 更正 releasenote 檔案 (0001-releasenote-changes-summary-fixes.patch)。

- 使用新知識庫文章的連結更新 README.caveats。

- 修正錯誤的「Source2:」標籤。

- 將 Intel CPU 微碼更新至 20191112,可解決 CVE-2017-5715、CVE-2019-0117、CVE-2019-11135、CVE-2019-11139 (#1764049、#1764062、#1764953、

- 新增 06-a6-00/0x80 (CML-U 6+2 A0) 微碼的修訂版 0xc6

- 新增 06-66-03/0x80 (CNL-U D0) 微碼的修訂版 0x2a

- 新增 06-55-03/0x97 (SKL-SP B1) 微碼的修訂版 0x1000150

- 新增 06-7e-05/0x80 (ICL-U/Y D1) 微碼的修訂版 0x46

- 將 06-4e-03/0xc0 (SKL-U/Y D0) 微碼從修訂版 0xcc 更新至 0xd4

- 將 06-5e-03/0x36 (SKL-H/S/Xeon E3 R0/N0) 微碼從修訂版 0xcc 更新至 0xd4

- 將 06-8e-09/0x10 (AML-Y 2+2 H0) 微碼從修訂版 0xb4 更新至 0xc6

- 將 06-8e-09/0xc0 (KBL-U/Y H0) 微碼從修訂版 0xb4 更新至 0xc6

- 將 06-8e-0a/0xc0 (CFL-U 4+3e D0) 微碼從修訂版 0xb4 更新至 0xc6

- 將 06-8e-0b/0xd0 (WHL-U W0) 微碼從修訂版 0xb8 更新至 0xc6

- 將 06-8e-0c/0x94 (AML-Y V0) 微碼從修訂版 0xb8 更新至 0xc6

- 將 06-8e-0c/0x94 (CML-U 4+2 V0) 微碼從修訂版 0xb8 更新至 0xc6

- 將 06-8e-0c/0x94 (WHL-U V0) 微碼從修訂版 0xb8 更新至 0xc6

- 將 06-9e-09/0x2a (KBL-G/X H0) 微碼從修訂版 0xb4 更新至 0xc6

- 將 06-9e-09/0x2a (KBL-H/S/Xeon E3 B0) 微碼從修訂版 0xb4 更新至 0xc6

- 將 06-9e-0a/0x22 (CFL-H/S/Xeon E U0) 微碼從修訂版 0xb4 更新至 0xc6

- 將 06-9e-0b/0x02 (CFL-S B0) 微碼從修訂版 0xb4 更新至 0xc6

- 將 06-9e-0d/0x22 (CFL-H R0) 微碼從修訂版 0xb8 更新至 0xc6

- 不要將 06-2d-07 (SNB-E/EN/EP) 更新至修訂版 0x718,預設使用 0x714 (#1758382)。

- 還原更嚴格的模型檢查程式碼,因為其需要 request_firmware 型微碼載入機制,併中斷啟用具有警告的微碼。

- Intel CPU 微碼更新至 20190918 (#1753540)。

- Intel CPU 微碼更新至 20190618 (#1717238)。

- 移除免責聲明,因為現在證明 kmsg/log 污染並不重要,其內容在 README.caveats 中有部分採用。

- Intel CPU 微碼更新至 20190514a (#1711938)。

- Intel CPU 微碼更新至 20190507_Public_DEMO (#1697960)。

- Intel CPU 微碼更新至 20190312 (#1697960)。

- 修正 %post 指令碼中的免責聲明路徑。

- 修正免責聲明檔案的安裝路徑。

- 新增 README.caveats 文件檔案。

- 使用 RHEL 7 套件中的 check_caveats 以支援覆寫。

- 停用 config 中的 06-4f-01 微碼 (#1622180)。

- Intel CPU 微碼更新至 20180807a (#1614427)。

- 將最低微碼版本檢查新增至 reload_microcode。

- Intel CPU 微碼更新至 20180807。

- 解決:#1614427。

- Intel CPU 微碼更新至 20180703

- 新增用於處理核心版本相依之微碼的基礎結構

- 解決: #1574593

- Intel CPU 微碼更新至 20180613。

- 解決: #1573451

- 將 AMD 微碼更新至 2018-05-24

- 解決: #1584192

- 更新 AMD 微碼

- 解決: #1574591

- 更新免責聲明文字

- 解決: #1574588

- Intel CPU 微碼更新至 20180425。

- 解決: #1574588

- 從 Intel 和 AMD 恢復微代碼,用於邊信道攻擊

- 解決: #1533941

- 將微碼數據文件更新至 20180108 修訂版。

- 解決: #1527354

- 更新 06-3f-02、06-4f-01 和 06-55-04 的 Intel CPU 微碼

- 新增 amd microcode_amd_fam17h.bin 資料檔案

- 解決: #1527354

- 將微碼數據文件更新至 20170707 修訂版。

- 解決: #1465143

- 將 microcode_amd_fam15h.bin 還原為 amd-ucode-2012-09-10 之後的版本

- 解決: #1322525

- 將微碼數據文件更新至 20161104 修訂版。

- 新增 E5-26xxv4 的因應措施

- 解決: #1346045

- 將微碼數據文件更新至 20160714 修訂版。

- 解決: #1346045

- 將 amd 微碼資料檔案更新至 amd-ucode-2013-11-07

- 解決: #1322525

- 將微碼資料檔案更新至 20151106 修訂版。

- 解決: #1244968

- 移除 /lib/udev/rules.d/89-microcode.rules 上的錯誤檔案權限

- 解決: #1201276

- 將微碼資料檔案更新至 20150121 修訂版。

- 解決: #1123992

- 將微碼數據文件更新至 20140624 修訂版。

- 解決: #1113394

- 將微碼資料檔案更新至 20140430 修訂版。

- 解決: #1036240

解決方案

更新受影響的 microcode_ctl 套件。

另請參閱

https://oss.oracle.com/pipermail/oraclevm-errata/2020-June/000988.html

https://oss.oracle.com/pipermail/oraclevm-errata/2020-June/000986.html

Plugin 詳細資訊

嚴重性: Medium

ID: 137739

檔案名稱: oraclevm_OVMSA-2020-0026.nasl

版本: 1.4

類型: local

已發布: 2020/6/23

已更新: 2021/4/16

相依性: ssh_get_info.nasl

風險資訊

CVSS 評分資料來源: CVE-2020-0549

VPR

風險因素: High

分數: 8.1

CVSS v2

風險因素: Low

基本分數: 2.1

時間分數: 1.8

媒介: AV:L/AC:L/Au:N/C:P/I:N/A:N

時間媒介: E:H/RL:OF/RC:C

CVSS v3

風險因素: Medium

基本分數: 5.5

時間分數: 5.3

媒介: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

時間媒介: E:H/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:oracle:vm:microcode_ctl, cpe:/o:oracle:vm_server:3.3, cpe:/o:oracle:vm_server:3.4

必要的 KB 項目: Host/local_checks_enabled, Host/OracleVM/release, Host/OracleVM/rpm-list

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2020/6/22

弱點發布日期: 2018/1/4

參考資訊

CVE: CVE-2017-5715, CVE-2019-0117, CVE-2019-11135, CVE-2019-11139, CVE-2020-0543, CVE-2020-0548, CVE-2020-0549