Oracle Linux 6 / 7:Unbreakable Enterprise 核心 (ELSA-2024-12851)

high Nessus Plugin ID 212019

概要

遠端 Oracle Linux 主機缺少一個或多個安全性更新。

說明

遠端 Oracle Linux 6/7 主機上安裝的套件受到 ELSA-2024-12851 公告中提及的多個弱點影響。

- memcg_write_event_control():修正使用者可觸發的 oops (Al Viro) [Orabug: 37070674] {CVE-2024-45021}
- ocfs2:修正打洞和 AIO+DIO 之間的爭用 (Su Yue) [Orabug: 36835819] {CVE-2024-40943}
- fbdev: savage:savagefb_check_var 失敗時處理程式 err 傳回 (Cai Xinchen) [Orabug: 36984058] {CVE-2024-39475}
- bnx2x:修正多個 UBSAN array-index-out-of-bounds (Ghadi Elie Rahme) [Orabug: 36897888] {CVE-2024-42148}
- vmci:藉由清理 event_deliver() 中的事件,防止推測洩漏 (Hagar Gamal Halim Hemdan) [Orabug: 36835584] {CVE-2024-39499}
- aoe:修正 aoecmd_cfg_pkts 中潛在的釋放後使用問題 (Chun-Yi Lee) [Orabug: 36544953] {CVE-2024-26898}
- 輸入:MT - 限制插槽上限 (Tetsuo Handa) [Orabug: 37029139] {CVE-2024-45008}
- drm/nouveau:修正 nouveau_connector_get_modes 中的 Null 指標解除參照 (Ma Ke) [Orabug: 36897642] {CVE-2024-42101}
- wifi:mac80211:修正 ieee80211_sta_ps_deliver_wakeup() 中的鎖死問題 (Remi Pommarel) [Orabug: 36835737] {CVE-2024-40912}
- USB:類別:cdc-wdm:修正因過多記錄訊息造成的 CPU 鎖定 (Alan Stern) [Orabug: 36835711] {CVE-2024-40904}
- bonding:修復 bond_option_arp_ip_targets_set() 中的超出邊界讀取問題 (Sam Sun) [Orabug: 36825250] {CVE-2024-39487}
- jffs2:防止 xattr 節點發生 eraseblock 溢位 (Ilya Denisyev) [Orabug: 36753653] {CVE-2024-38599}
- scsi:bfa:確保複製的緩衝區以 NUL 結尾 (Bui Quang Minh) [Orabug: 36753475] {CVE-2024-38560}
- ALSA:usb-audio:找到所有通道後,停止剖析通道位元。(Johan Carlsson) [Orabug:
36642150] {CVE-2024-27436}
- USB:usb-storage:防止 isd200_ata_command 中發生除以 0 錯誤 (Alan Stern) [Orabug: 36598221] {CVE-2024-27059}
- Fat:修正 nostale filehandles 中未初始化的欄位 (Jan Kara) [Orabug: 36597870] {CVE-2024-26973}

Tenable 已直接從 Oracle Linux 安全公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的套件。

另請參閱

https://linux.oracle.com/errata/ELSA-2024-12851.html

Plugin 詳細資訊

嚴重性: High

ID: 212019

檔案名稱: oraclelinux_ELSA-2024-12851.nasl

版本: 1.1

類型: local

代理程式: unix

已發布: 2024/12/3

已更新: 2024/12/3

支援的感應器: Frictionless Assessment Agent, Nessus Agent, Continuous Assessment, Nessus

風險資訊

VPR

風險因素: High

分數: 7.4

CVSS v2

風險因素: Medium

基本分數: 6.8

時間性分數: 5

媒介: CVSS2#AV:L/AC:L/Au:S/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2024-42148

CVSS v3

風險因素: High

基本分數: 7.8

時間性分數: 6.8

媒介: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:oracle:linux:kernel-uek-debug-devel, cpe:/o:oracle:linux:7, p-cpe:/a:oracle:linux:kernel-uek-debug, p-cpe:/a:oracle:linux:kernel-uek-devel, p-cpe:/a:oracle:linux:kernel-uek-doc, cpe:/a:oracle:linux:7::uekr4, p-cpe:/a:oracle:linux:kernel-uek-firmware, cpe:/a:oracle:linux:6:10:uekr4_els, p-cpe:/a:oracle:linux:kernel-uek, cpe:/o:oracle:linux:6

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2024/11/27

弱點發布日期: 2024/4/12

參考資訊

CVE: CVE-2024-26894, CVE-2024-26898, CVE-2024-26973, CVE-2024-27059, CVE-2024-27436, CVE-2024-38560, CVE-2024-38599, CVE-2024-39475, CVE-2024-39487, CVE-2024-39499, CVE-2024-40904, CVE-2024-40912, CVE-2024-40943, CVE-2024-42101, CVE-2024-42148, CVE-2024-45008, CVE-2024-45021