OracleVM 3.0：xen (OVMSA-2012-0056)

medium Nessus Plugin ID 79490

語系：

概要

遠端 OracleVM 主機缺少一個或多個安全性更新。

說明

遠端 OracleVM 系統缺少可解決重要安全性更新的必要修補程式：

- xen：修正 guest_physmap_mark_populate_on_demand 的錯誤處理。「out」標籤的唯一使用者可繞過必要的解除鎖定，進而使呼叫者鎖定 Xen。此外，該函式並非預定由其來賓呼叫，與其深入程式碼路徑檢查可能發生的其他問題，及調整上述錯誤路徑中的非來賓 printk，不妨直接禁止來賓的存取權。最後，由於除錯是 printk (考慮其可能發送記錄垃圾郵件，更有可能的是其未使用 XENLOG_GUEST) 最初新增時的主要目的，因此其會轉換為 P2M_DEBUG。這是 XSA-30 / CVE-2012-5514。
(CVE-2012-5514)

- 還原 XSA-30 / CVE-2012-5514 的第 2 版 (CVE-2012-5514)

- memop：限制來賓指定的範圍順序。由於此處允許無限制的順序值，可能造成近乎無限制的迴圈和/或不完整的要求，特別是 PoD 程式碼更有可能發生。在 populate_physmap、decrease_reservation 和 memory_exchange 中的「in」新增的範圍檢查架構上均可使用 PADDR_BITS
- PAGE_SHIFT，且可透過人為限制 MAX_ORDER。這是 XSA-31 / CVE-2012-5515。
(CVE-2012-5515)

- xen：修正 guest_physmap_mark_populate_on_demand 的錯誤路徑。「out」標籤的唯一使用者可繞過必要的解除鎖定，進而使呼叫者鎖定 Xen。這是 XSA-30 / CVE-2012-5514。(CVE-2012-5514)

- xen：新增遺漏的來賓位址範圍檢查到 XENMEM_exchange 處置程式。自從該處置程式存在以來 (3.0.3 iirc)，便使用非位址範圍檢查來賓記憶體存取子 (以兩條底線做為前置詞)，而未先檢查存取空間的範圍 (透過 guest_handle_okay)，其允許來賓存取並覆寫 Hypervisor 記憶體。這是 XSA-29 / CVE-2012-5513。

- hvm：限制大型 HVM op 批次的大小。針對實體處理器未繫結先佔的 HVMOP_track_dirty_vram 執行大量 p2m 更新。由於難以在 p2m 更新中整合先佔，因此將限制設為 1Gb，即已足夠 15000 * 15000 * 32bpp 框架緩衝區使用。針對 HVMOP_modified_memory 和 HVMOP_set_mem_type 搶佔式，則視需要新增電腦處理先佔。這是 CVE-2012-5511 / XSA-27。

x86/分頁：不配置使用者控制的堆疊記憶體數量。這是 XSA-27 / CVE-2012-5511。

v2：提供 GB 定義以修正 x86-32 編譯。

- xen/common/grant_table.c gnttab：修正 gnttab_unpopulate_status_frames 版本之間切換時的記憶體釋放問題，其原本會不完整地釋放做為狀態框架使用的頁面，而其在網域的 xenpage_list 中並未移除，使得後續為了相同或不同目的而再次配置頁面時，造成後續的清單損毀。
同樣地，grant_table_create 和 gnttab_grow_table 在發生錯誤時也有不當清理的問題 - 已與來賓共用的頁面無法透過僅僅傳遞至 free_xenheap_page 來進行釋放。透過僅在所有配置均成功完成後共用頁面，來修正此問題。這是 CVE-2012-5510 / XSA-26。(CVE-2012-5510)