OracleVM 3.4:kernel-uek (OVMSA-2024-0016)

high Nessus Plugin ID 212214

概要

遠端 OracleVM 主機缺少一個或多個安全性更新。

說明

遠端 OracleVM 系統缺少可解決安全性更新的必要修補程式:

[4.1.12-124.92.3]- memcg_write_event_control():修正使用者可觸發的 oops (Al Viro) [Orabug: 37070674] {CVE-2024-45021}- ocfs2:修正 hole punching 和 AIO+DIO 之間的爭用 (Su Yue) [Orabug: 36835819] {CVE-2024-40943}[4.1.12-124.92.2]- fbdev:savage:savagefb_check_var 失敗時處理錯誤傳回 (Cai Xinchen) [Orabug: 36984058] {CVE-2024-39475}- bnx2x:修正多個 UBSAN array-index-out-of-bounds (Ghadi Elie Rahme) [Orabug: 36897888] {CVE-2024-42148}- vmci:清理 event_deliver() 中的事件以防止推測洩漏 (Hagar Gamal Halim Hemdan) [Orabug: 36835584] {CVE-2024-39499}- aoe:修正 aoecmd_cfg_pkts 中可能的使用已釋放記憶體問題 (Chun-Yi Lee) [Orabug: 36544953] {CVE-2024-26898}[4.1.12-124.92.1]- Input:MT - 限制插槽上限 (Tetsuo Handa) [Orabug: 37029139] {CVE-2024-45008}- drm/nouveau:修正 nouveau_connector_get_modes 中的 null 指標解除參照 (Ma Ke) [Orabug: 36897642] {CVE-2024-42101}- wifi:mac80211:修正 ieee80211_sta_ps_deliver_wakeup() 中的鎖死 (Remi Pommarel) [Orabug: 36835737] {CVE-2024-40912}- USB:class:cdc-wdm:修正因過多記錄訊息造成的 CPU 鎖定 (Alan Stern) [Orabug: 36835711] {CVE-2024-40904}- bonding:修正 bond_option_arp_ip_targets_set() 中的超出邊界讀取 (Sam Sun) [Orabug: 36825250] {CVE-2024-39487}- jffs2:避免 xattr 節點造成 eraseblock 溢位 (Ilya Denisyev) [Orabug: 36753653] {CVE-2024-38599}- scsi:bfa:
確保複製的緩衝區為 NUL 終止 (Bui Quang Minh) [Orabug: 36753475] {CVE-2024-38560}- ALSA:usb-audio:找到所有通道後停止剖析通道位元。(Johan Carlsson) [Orabug: 36642150] {CVE-2024-27436}- USB:usb-storage:防止 isd200_ata_command 中發生除以 0 錯誤 (Alan Stern) [Orabug:
36598221] {CVE-2024-27059}- fat:修正 nostale filehandles 中未初始化的欄位 (Jan Kara) [Orabug:
36597870] {CVE-2024-26973}- ACPI:processor_idle:修正 acpi_processor_power_exit() 中的記憶體流失 (Armin Wolf) [Orabug: 36544941] {CVE-2024-26894}

Tenable 已直接從 OracleVM 安全公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的 kernel-uek/kernel-uek-firmware 套件。

另請參閱

https://linux.oracle.com/cve/CVE-2024-26894.html

https://linux.oracle.com/cve/CVE-2024-26898.html

https://linux.oracle.com/cve/CVE-2024-26973.html

https://linux.oracle.com/cve/CVE-2024-27059.html

https://linux.oracle.com/cve/CVE-2024-27436.html

https://linux.oracle.com/cve/CVE-2024-38560.html

https://linux.oracle.com/cve/CVE-2024-38599.html

https://linux.oracle.com/cve/CVE-2024-39475.html

https://linux.oracle.com/cve/CVE-2024-39487.html

https://linux.oracle.com/cve/CVE-2024-39499.html

https://linux.oracle.com/cve/CVE-2024-40904.html

https://linux.oracle.com/cve/CVE-2024-40912.html

https://linux.oracle.com/cve/CVE-2024-40943.html

https://linux.oracle.com/cve/CVE-2024-42101.html

https://linux.oracle.com/cve/CVE-2024-42148.html

https://linux.oracle.com/cve/CVE-2024-45008.html

https://linux.oracle.com/cve/CVE-2024-45021.html

https://linux.oracle.com/errata/OVMSA-2024-0016.html

Plugin 詳細資訊

嚴重性: High

ID: 212214

檔案名稱: oraclevm_OVMSA-2024-0016.nasl

版本: 1.1

類型: local

已發布: 2024/12/10

已更新: 2024/12/10

支援的感應器: Nessus

風險資訊

VPR

風險因素: High

分數: 7.4

CVSS v2

風險因素: Medium

基本分數: 6.8

時間性分數: 5

媒介: CVSS2#AV:L/AC:L/Au:S/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2024-42148

CVSS v3

風險因素: High

基本分數: 7.8

時間性分數: 6.8

媒介: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:oracle:vm:kernel-uek, cpe:/o:oracle:vm_server:3.4, p-cpe:/a:oracle:vm:kernel-uek-firmware

必要的 KB 項目: Host/local_checks_enabled, Host/OracleVM/release, Host/OracleVM/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2024/12/3

弱點發布日期: 2024/4/17

參考資訊

CVE: CVE-2024-26894, CVE-2024-26898, CVE-2024-26973, CVE-2024-27059, CVE-2024-27436, CVE-2024-38560, CVE-2024-38599, CVE-2024-39475, CVE-2024-39487, CVE-2024-39499, CVE-2024-40904, CVE-2024-40912, CVE-2024-40943, CVE-2024-42101, CVE-2024-42148, CVE-2024-45008, CVE-2024-45021