Oracle Linux 6:rdma (ELSA-2013-0509)
high Nessus Plugin ID 68748
語言:
概要
遠端 Oracle Linux 主機缺少一個或多個安全性更新。說明
來自 Red Hat 安全性公告 2013:0509:現已提供適用於 Red Hat Enterprise Linux 6 的更新版 RDMA 套件,可修正多個安全性問題、數個錯誤,並且新增一個增強功能。
Red Hat 安全性回應團隊已將此更新評等為具有低安全性影響。可針對每個弱點從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數,其中包含有關嚴重性評等的詳細資訊。
Red Hat Enterprise Linux 包含 InfiniBand 及 iWARP 公用程式、程式庫和開發套件,用於寫入使用遠端直接記憶體存取 (RDMA) 技術的應用程式。
在 ibacm 管理多點傳送連線的參照計數方式中發現拒絕服務瑕疵。攻擊者可傳送將使 ibacm 程序損毀的特製多點傳送封包。
(CVE-2012-4517)
據發現,ibacm 程序會以任何人皆可寫入的權限,建立一些檔案。本機攻擊者可利用此瑕疵覆寫 ibacm.log 或 ibacm.port 檔的內容,讓它們遮蔽來自記錄的某些動作,或使 ibacm 在非預設連接埠上執行。(CVE-2012-4518)
CVE-2012-4518 是由 Red Hat 產品安全性團隊的 Florian Weimer 和 Red Hat 安全性回應團隊的 Kurt Seifried 所發現。
InfiniBand/iWARP/RDMA 堆疊元件已升級至更新版上游版本。
此更新也可修正下列錯誤:
* ‘ibnodes -h’命令先前無法顯示正確的使用方式訊息。此更新可修正此問題,因此‘ibnodes -h’現在可以顯示正確的使用方式訊息。(BZ#818606)
* 之前,ibv_devinfo 公用程式將 iWARP cxgb3 硬體的實體狀態錯誤地顯示為無效,即使裝置正在運作,也是如此。
對於 iWARP 硬體,phys_state 欄位沒有任何意義。此更新在硬體為 iWARP 硬體時,將公用程式修補為不列印出此欄位的任何內容。(BZ#822781)
* 在 Red Hat Enterprise Linux 6.3 版之前,核心會在錯誤的位置建立 InfiniBand 裝置檔案,並使用 udev 規則檔案強制在正確的位置建立裝置。6.3 的更新會將核心修正為在正確的位置建立 InfiniBand 裝置檔案,因此 udev 規則檔案會因為不再需要而遭到移除。不過,核心裝置建立時所產生的錯誤意指,雖然裝置現在會在正確的位置建立,但是這些裝置所擁有的權限不正確。
因此,當使用者嘗試以非 root 使用者的身分執行 RDMA 應用程式時,應用程式無法取得使用 RDMA 裝置的必要權限,因此應用程式會終止。此更新會將新的 udev 規則檔案放在適當的位置。此更新不再嘗試建立 InfiniBand 裝置,因為這些裝置已經存在,但此更新確實會更正檔案的裝置權限。(BZ#834428)
* 之前,使用 'perfquery -C' 命令搭配主機名稱會使 perfquery 公用程式變得沒有回應。待處理之控制器的清單永遠不會遭到清除,且處理程序會在單一控制器上出現無限迴圈。套用修補程式可確保使用者在傳入 -C 選項時,會清除一次已經過處理之控制器的控制器清單。因此,perfquery 現在可在上述狀況下如預期運作。(BZ#847129)
* OpenSM init 指令碼無法處理「/etc/rdma/opensm.conf.*」下沒有組態檔的情況。此更新會修補指令碼,因此 InfiniBand Subnet Manager (OpenSM) 現在可在上述狀況下如預期啟動。(BZ#862857)
此更新也新增了下列增強功能:
* 此更新提供一個更新版 mlx4_ib Mellanox 驅動程式,其中包含單一根目錄 I/O 虛擬化 (SR-IOV) 支援。(BZ#869737)
建議所有 RDMA 使用者皆升級至這些更新版套件,其可修正這些問題並新增此增強功能。
解決方案
更新受影響的 rdma 套件。另請參閱
Plugin 詳細資訊
嚴重性: High
ID: 68748
檔案名稱: oraclelinux_ELSA-2013-0509.nasl
版本: 1.9
類型: local
代理程式: unix
已發布: 2013/7/12
已更新: 2024/10/22
支援的感應器: Frictionless Assessment Agent, Nessus Agent, Continuous Assessment, Nessus
風險資訊
VPR
風險因素: Low
分數: 3.6
CVSS v2
風險因素: Low
基本分數: 3.6
時間性分數: 2.7
媒介: CVSS2#AV:L/AC:L/Au:N/C:N/I:P/A:P
CVSS 評分資料來源: CVE-2012-4518
CVSS v3
風險因素: High
基本分數: 7.5
時間性分數: 6.5
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
CVSS 評分資料來源: CVE-2012-4517
弱點資訊
CPE: p-cpe:/a:oracle:linux:libibverbs-devel, p-cpe:/a:oracle:linux:infinipath-psm, p-cpe:/a:oracle:linux:ibacm-devel, p-cpe:/a:oracle:linux:libmlx4, p-cpe:/a:oracle:linux:librdmacm-static, p-cpe:/a:oracle:linux:opensm-devel, p-cpe:/a:oracle:linux:infiniband-diags, p-cpe:/a:oracle:linux:libibmad-devel, p-cpe:/a:oracle:linux:rdma, p-cpe:/a:oracle:linux:libibumad, p-cpe:/a:oracle:linux:libibumad-devel, p-cpe:/a:oracle:linux:ibsim, p-cpe:/a:oracle:linux:libibverbs, p-cpe:/a:oracle:linux:opensm-libs, p-cpe:/a:oracle:linux:ibutils, p-cpe:/a:oracle:linux:libibverbs-devel-static, p-cpe:/a:oracle:linux:ibutils-libs, p-cpe:/a:oracle:linux:librdmacm, p-cpe:/a:oracle:linux:librdmacm-utils, p-cpe:/a:oracle:linux:ibutils-devel, p-cpe:/a:oracle:linux:libibmad, p-cpe:/a:oracle:linux:infiniband-diags-devel-static, p-cpe:/a:oracle:linux:libibverbs-utils, p-cpe:/a:oracle:linux:opensm-static, p-cpe:/a:oracle:linux:opensm, p-cpe:/a:oracle:linux:ibacm, p-cpe:/a:oracle:linux:libmlx4-static, p-cpe:/a:oracle:linux:libibumad-static, p-cpe:/a:oracle:linux:infinipath-psm-devel, p-cpe:/a:oracle:linux:libibmad-static, p-cpe:/a:oracle:linux:infiniband-diags-devel, p-cpe:/a:oracle:linux:librdmacm-devel, cpe:/o:oracle:linux:6
必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2013/2/25
弱點發布日期: 2012/10/22
參考資訊
CVE: CVE-2012-4517, CVE-2012-4518
BID: 55890
RHSA: 2013:0509