Oracle Linux 5:xen (ELSA-2009-1472)
high Nessus Plugin ID 67935
語系:
概要
遠端 Oracle Linux 主機缺少一個或多個安全性更新。說明
來自 Red Hat 安全性公告 2009:1472:現已提供適用於 Red Hat Enterprise Linux 5 的更新版 xen 套件,可修正一個安全性問題和多個錯誤。
Red Hat 安全性回應團隊已將此更新評等為具有中等安全性影響。
Xen 是開放原始碼虛擬化架構。虛擬化允許使用者在主機作業系統之上,於虛擬機器中執行來賓作業系統。
pyGrub 開機載入器並不接受半虛擬化來賓之 grub.conf 檔案中的「密碼」選項。具有來賓主控台存取權的使用者可利用此瑕疵繞過預定的存取限制並以任意核心開機選項啟動來賓,允許他們在來賓的作業系統中取得 root 權限。
實施此更新之後,pyGrub 會在半虛擬化來賓的 grub.conf 中正確接受「密碼」選項。(CVE-2009-3525)
此更新也可修正下列錯誤:
* 將半虛擬化來賓重新開機有時候會導致這些來賓因 xend 節點控制程序中的爭用情形而當機。此更新可修正此爭用情形,以便將來賓重新開機不再可能導致其當機並無法重新開機。(BZ#525141)
* 由於 xend 程序中的爭用情形,來賓可在重新開機之後從執行來賓的清單中消失,即使來賓成功重新開機並執行也是如此。此更新可修正此爭用情形,以使來賓始終在重新開機之後重新出現在來賓清單中。(BZ#525143)
* 嘗試對某些核心上的半虛擬化來賓使用 PCI 通過時失敗,並出現「功能未實作」錯誤訊息。因此,在半虛擬化來賓上需要 PCI 通過的使用者若沒有也更新核心並因而需要重新開機,將無法更新 xen 套件。這些更新版套件可針對半虛擬化來賓啟用 PCI 通過,如此使用者不需要升級核心,便可利用 PCI 通過功能。(BZ#525149)
所有 Xen 使用者皆應升級至這些更新版套件,其中包含可更正這些問題的反向移植修補程式。安裝更新版套件之後,必須先重新啟動 xend 服務,此更新才會生效。
解決方案
更新受影響的 xen 套件。另請參閱
https://oss.oracle.com/pipermail/el-errata/2009-October/001180.html
Plugin 詳細資訊
嚴重性: High
ID: 67935
檔案名稱: oraclelinux_ELSA-2009-1472.nasl
版本: 1.9
類型: local
代理程式: unix
已發布: 2013/7/12
已更新: 2021/1/14
支援的感應器: Frictionless Assessment Agent, Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 6.7
CVSS v2
風險因素: High
基本分數: 7.2
時間分數: 5.6
媒介: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C
弱點資訊
CPE: p-cpe:/a:oracle:linux:xen, p-cpe:/a:oracle:linux:xen-devel, p-cpe:/a:oracle:linux:xen-libs, cpe:/o:oracle:linux:5
必要的 KB 項目: Host/local_checks_enabled, Host/OracleLinux, Host/RedHat/release, Host/RedHat/rpm-list
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2009/10/1
弱點發布日期: 2009/10/5
參考資訊
CVE: CVE-2009-3525
BID: 36523