OracleVM 3.4:Unbreakable/ 等 (OVMSA-2020-0041)

high Nessus Plugin ID 140361

Synopsis

遠端 OracleVM 主機缺少一個或多個安全性更新。

描述

遠端 OracleVM 系統缺少可解決重大安全性更新的必要修補程式:

- can:peak_usb:pcan_usb_fd:修正 USB 裝置的資訊洩漏 (Tomas Bortoli) [Orabug:31351221] (CVE-2019-19535)

- media:hdpvr:修正 hdpvr_probe 中的路徑處理錯誤 (Arvind Yadav) [Orabug:31352053] (CVE-2017-16644)

- fs/binfmt_misc.c:不允許位移溢位 (Thadeu Lima de Souza Cascardo) [Orabug:31588258] - 使 async 停用加入佇列之前,清理 inode 並截斷頁面 (Gautham Ananthakrishna) [Orabug:31744270]

- mm:建立 alloc_last_chance debugfs 項目 (Mike Kravetz) [Orabug:31295499]-mm:在配置失敗前執行「最後一次機會」回收工作 (Mike Kravetz) [Orabug:31295499]-mm:讓頁面配置緩慢路徑重試「順序」時間 (Mike Kravetz) [Orabug:31295499] - 修正「netns:為 net_hash_mix 提供純熵」中的 kABI 損毀 (Dan Duval) [Orabug:31351904] (CVE-2019-10638) (CVE-2019-10639)

- netns:為 net_hash_mix 提供純熵 (Eric Dumazet) [Orabug:31351904] (CVE-2019-10638) (CVE-2019-10639)

- hrtimer:註釋 timer-> base 的無鎖定存取 (Eric Dumazet) [Orabug:31380495]-rds:ib:還原「net/rds:
避免 CM REQ 重試造成連接停止 (H&aring kon Bugge) [Orabug:31648141]-rds:清除重新連線擱置位元 (H&aring kon Bugge) [Orabug:
31648141]-RDMA/netlink:請勿一律為某些 netlink 作業產生 ACK (Häkon Bugge) [Orabug:
31666975]-genirq / proc:irq_set_affinity 失敗時傳回適當的錯誤碼 (Wen Yaxng) [Orabug:31723450]

- fs/binfmt_elf.c:配置 fill_thread_core_info 中的初始化記憶體 (Alexander Potapenko) [Orabug:
31350639] (CVE-2020-10732)

- crypto:使用者-修正 crypto_report 中的記憶體洩漏 (Navid Emamdoost) [Orabug:31351640] (CVE-2019-19062)

- of: unittest:修正 unittest_data_add 中的記憶體洩漏 (Navid Emamdoost) [Orabug:31351702] (CVE-2019-19049)

-IB/sa:解決 ib_nl_make_request 中的釋放後使用問題 (Divya Indi) [Orabug:31656992]-net-sysfs:如果 kobject_init_and_add 成功,則呼叫 dev_hold (YueHaibing) [Orabug:31687545] (CVE-2019-20811)

解決方案

更新受影響的 kernel-uek/kernel-uek-firmware 套件。

另請參閱

http://www.nessus.org/u?566c17a8

Plugin 詳細資訊

嚴重性: High

ID: 140361

檔案名稱: oraclevm_OVMSA-2020-0041.nasl

版本: 1.3

類型: local

已發布: 2020/9/8

已更新: 2022/5/13

風險資訊

CVSS 評分資料來源: CVE-2017-16644

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: High

基本分數: 7.2

時間分數: 5.3

媒介: AV:L/AC:L/Au:N/C:C/I:C/A:C

時間媒介: E:U/RL:OF/RC:C

CVSS v3

風險因素: High

基本分數: 7.5

時間分數: 6.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

時間媒介: E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:oracle:vm:kernel-uek, p-cpe:/a:oracle:vm:kernel-uek-firmware, cpe:/o:oracle:vm_server:3.4

必要的 KB 項目: Host/local_checks_enabled, Host/OracleVM/release, Host/OracleVM/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2020/9/4

弱點發布日期: 2017/11/7

參考資訊

CVE: CVE-2017-16644, CVE-2019-10638, CVE-2019-10639, CVE-2019-19049, CVE-2019-19062, CVE-2019-19535, CVE-2019-20811, CVE-2020-10732