OracleVM 3.4:xen (OVMSA-2021-0020)
high Nessus Plugin ID 151049
語系:
概要
遠端 OracleVM 主機缺少一個或多個安全性更新。說明
遠端 OracleVM 系統缺少可解決安全性更新的必要修補程式:- 某些 Intel(R) 處理器中有可觀察到的回應差異,經授權的使用者可能會透過本機存取權造成資訊洩漏。(CVE-2021-0089)
- 所有支援的 CPU 產品中潛在的推測程式碼儲存區繞過弱點,加上與覆寫指令推測執行相關的弱點,可能會造成推測不當,並可能導致資料洩漏。(CVE-2021-26313)
- x86:S3 後未還原 TSX 非同步中止保護 此問題與 TSX 非同步中止推測安全性弱點有關。請參閱 https://xenbits.xen.org/xsa/advisory-305.html 瞭解詳細資料。
停用 TSX (預設和偏好選項) 以減輕 TAA 影響,需要在 MSR_TSX_CTRL 中選取非預設設定。S3 暫停後不會還原此設定。(CVE-2021-28690)
- 不當偵測 x86 IOMMU 逾時/不當處理與發出此類命令的 CPU 作業平行發出的 IOMMU 處理程序命令。在 Xen 的目前實作中,並未使用關於此類命令已完成的非同步通知。發出命令的 CPU 會旋轉等待最近發出的命令完成。有些等候迴圈嘗試套用逾時,以使過慢的命令失敗。實際偵測到感知的逾時時採取的動作不當:- 在 Intel 硬體上,起初未造成逾時的來賓機可能會標示為損毀;- 在 AMD 硬體上,上層呼叫者不會收到此問題的通知,從而會繼續執行,如同 IOMMU 作業成功一樣。(CVE-2021-28692)
請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
更新受影響的 xen / xen-tools 套件。另請參閱
https://linux.oracle.com/cve/CVE-2021-0089.html
https://linux.oracle.com/cve/CVE-2021-26313.html
https://linux.oracle.com/cve/CVE-2021-28690.html
Plugin 詳細資訊
嚴重性: High
ID: 151049
檔案名稱: oraclevm_OVMSA-2021-0020.nasl
版本: 1.8
類型: local
已發布: 2021/6/28
已更新: 2022/1/26
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.2
CVSS v2
風險因素: Medium
基本分數: 5.6
時間分數: 4.1
媒介: CVSS2#AV:L/AC:L/Au:N/C:P/I:N/A:C
CVSS 評分資料來源: CVE-2021-28692
CVSS v3
風險因素: High
基本分數: 7.1
時間分數: 6.2
媒介: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: p-cpe:/a:oracle:vm:xen, p-cpe:/a:oracle:vm:xen-tools, cpe:/o:oracle:vm_server:3.4
必要的 KB 項目: Host/local_checks_enabled, Host/OracleVM/release, Host/OracleVM/rpm-list
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2021/6/25
弱點發布日期: 2021/6/9
參考資訊
CVE: CVE-2021-0089, CVE-2021-26313, CVE-2021-28690, CVE-2021-28692
IAVB: 2021-B-0060-S