偵測

Debian DLA-2571-1:openvswitch 安全性更新

critical Nessus Plugin ID 146677

語系:

概要

遠端 Debian 主機缺少一個安全性更新。

說明

在 openvswitch (一種生產品質的多層軟體型乙太網路虛擬交換器) 中發現數個問題。

CVE-2020-35498

拒絕服務攻擊,其中特製的網路封包可造成封包查閱忽略第 3 層和第 4 層的網路標頭欄位。特製的網路封包是乙太網路填補長度超過 255 個位元組的普通 IPv4 或 IPv6 封包。這造成封包功能健全檢查在第 2 層之後中止剖析標頭欄位。

CVE-2020-27827

使用特製的 LLDP 封包執行拒絕服務攻擊。

CVE-2018-17206

在 BUNDLE 動作解碼期間發生緩衝區過度讀取問題。

CVE-2018-17204

由於未驗證 OF1.5 解碼器中的資訊 (群組類型和命令) 而導致宣告失敗。

CVE-2017-9214

由無正負號的整數反向溢位造成緩衝區過度讀取。

CVE-2015-8011

在 0.8.0 之前的 lldpd 中,daemon/protocols/lldp.c 的 lldp_decode 函式中存在緩衝區溢位,遠端攻擊者可利用此弱點,透過涉及大型管理位址和 TLV 邊界的向量,造成拒絕服務 (程序損毀),並可能執行任意程式碼。

針對 Debian 9 Stretch,已在 2.6.10-0+deb9u1 版本中修正這些問題。此版本是新的上游版本。

建議您升級 openvswitch 套件。

如需有關 openvswitch 安全性狀態的詳細資訊,請參閱其安全追蹤頁面:
https://security-tracker.debian.org/tracker/openvswitch

注意:Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下,嘗試自動清理並將其格式化。

解決方案

升級受影響的套件。

另請參閱

https://lists.debian.org/debian-lts-announce/2021/02/msg00032.html

https://packages.debian.org/source/stretch/openvswitch

https://security-tracker.debian.org/tracker/source-package/openvswitch

Plugin 詳細資訊

嚴重性: Critical

ID: 146677

檔案名稱: debian_DLA-2571.nasl

版本: 1.2

類型: local

代理程式: unix

已發布: 2021/2/22

已更新: 2021/2/24

支援的感應器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: High

基本分數: 7.5

時間分數: 5.5

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 評分資料來源: CVE-2017-9214

CVSS v3

風險因素: Critical

基本分數: 9.8

時間分數: 8.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:debian:debian_linux:openvswitch-common, p-cpe:/a:debian:debian_linux:openvswitch-dbg, p-cpe:/a:debian:debian_linux:openvswitch-dev, p-cpe:/a:debian:debian_linux:openvswitch-ipsec, p-cpe:/a:debian:debian_linux:openvswitch-pki, p-cpe:/a:debian:debian_linux:openvswitch-switch, p-cpe:/a:debian:debian_linux:openvswitch-test, p-cpe:/a:debian:debian_linux:openvswitch-testcontroller, p-cpe:/a:debian:debian_linux:openvswitch-vtep, p-cpe:/a:debian:debian_linux:ovn-central, p-cpe:/a:debian:debian_linux:ovn-common, p-cpe:/a:debian:debian_linux:ovn-controller-vtep, p-cpe:/a:debian:debian_linux:ovn-docker, p-cpe:/a:debian:debian_linux:ovn-host, p-cpe:/a:debian:debian_linux:python-openvswitch, cpe:/o:debian:debian_linux:9.0

必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2021/2/19

弱點發布日期: 2017/5/23

參考資訊

CVE: CVE-2015-8011, CVE-2017-9214, CVE-2018-17204, CVE-2018-17206, CVE-2020-27827, CVE-2020-35498