OracleVM 2.2:xen (OVMSA-2013-0074)

high Nessus Plugin ID 79521

概要

遠端 OracleVM 主機缺少一個或多個安全性更新。

說明

遠端 OracleVM 系統缺少可解決重要安全性更新的必要修補程式:

- x86:檢查 64 位元 OUTS 模擬 XSA-67 中的區段描述符號讀取結果 (Matthew Daley) [orabug 17571640] (CVE-2013-4368)

- x86:正確設定 fbld 模擬運算元位址 XSA-66 (Jan Beulich) [orabug 17472492] (CVE-2013-4361)

- x86:正確處理 hvm_copy_from_guest_[phys,virt] 錯誤 XSA-63 (Jan Beulich) [orabug 17472461] (CVE-2013-4355)

- libxc:builder:限制核心/ramdisk 的大小上限 (Ian Campbell) [orabug 15852491] (CVE-2012-4544)

- libxc:builder:更正 CVE-2012-4544 的修正 (Ian Campbell) [orabug 15852491] (CVE-2012-4544)

- [PATCH 01/21] libelf:廢除 libelf-relocate.c (Ian Jackson) [orabug 16902308] (CVE-2013-2194 CVE-2013-2195 CVE-2013-2196)

- [PATCH 02/21] libxc:引入 xc_dom_seg_to_ptr_pages (Ian Jackson) [orabug 16902308] (CVE-2013-2194 CVE-2013-2195 CVE-2013-2196)

- [PATCH 03/21] libxc:修正 xc_dom_pfn_to_ptr 等中的範圍檢查 (Ian Jackson) [orabug 16902308] (CVE-2013-2194 CVE-2013-2195 CVE-2013-2196)

- [PATCH 04/21] libelf:廢除 elf_sval 和 elf_access_signed (Ian Jackson) [orabug 16902308] (CVE-2013-2194 CVE-2013-2195 CVE-2013-2196)

- [PATCH 05/21] libelf/xc_dom_load_elf_symtab:請勿使用未初始化的 'syms' (Ian Jackson) [orabug 16902308] (CVE-2013-2194 CVE-2013-2195 CVE-2013-2196)

- [PATCH 06/21] libelf:為記憶體存取和指標處理引入巨集 (Ian Jackson) [orabug 16902308] (CVE-2013-2194 CVE-2013-2195 CVE-2013-2196)

- [PATCH 07/21] tools/xcutils/readnotes:調整 print_l1_mfn_valid_note (Ian Jackson) [orabug 16902308] (CVE-2013-2194 CVE-2013-2195 CVE-2013-2196)

- [PATCH 08/21] libelf:正確檢查以 NULL 終止的字串 (Ian Jackson) [orabug 16902308] (CVE-2013-2194 CVE-2013-2195 CVE-2013-2196)

- [PATCH 09/21] libelf:檢查所有指標存取 (Ian Jackson) [orabug 16902308] (CVE-2013-2194 CVE-2013-2195 CVE-2013-2196)

- [PATCH 10/21] libelf:檢查 elf_is_elfbinary 中的指標參照 (Ian Jackson) [orabug 16902308] (CVE-2013-2194 CVE-2013-2195 CVE-2013-2196)

- [PATCH 11/21] libelf:使所有呼叫者呼叫 elf_check_broken (Ian Jackson) [orabug 16902308] (CVE-2013-2194 CVE-2013-2195 CVE-2013-2196)

- [PATCH 12/21] libelf:針對布林值使用 C99 bool (Ian Jackson) [orabug 16902308] (CVE-2013-2194 CVE-2013-2195 CVE-2013-2196)

- [PATCH 13/21] libelf:僅使用無正負號的整數 (Ian Jackson) [orabug 16902308] (CVE-2013-2194 CVE-2013-2195 CVE-2013-2196)

- [PATCH 14/21] libxc:引入 xc_bitops.h (Ian Jackson) [orabug 16902308] (CVE-2013-2194 CVE-2013-2195 CVE-2013-2196)

- [PATCH 15/21] libelf:檢查要離開的迴圈 (Ian Jackson) [orabug 16902308] (CVE-2013-2194 CVE-2013-2195 CVE-2013-2196)

- [PATCH 16/21] libelf:廢除過時的巨集 (Ian Jackson) [orabug 16902308] (CVE-2013-2194 CVE-2013-2195 CVE-2013-2196)

- [PATCH 17/21] libxc:將範圍檢查新增至 xc_dom_binloader (Ian Jackson) [orabug 16902308] (CVE-2013-2194 CVE-2013-2195 CVE-2013-2196)

- [PATCH 18/21] libxc:檢查 xc_dom_*_to_ptr、xc_map_foreign_range 的失敗 (Ian Jackson) [orabug 16902308] (CVE-2013-2194 CVE-2013-2195 CVE-2013-2196)

- [PATCH 19/21] libxc:檢查來自 malloc 的傳回值 (Ian Jackson) [orabug 16902308] (CVE-2013-2194 CVE-2013-2195 CVE-2013-2196)

- [PATCH 20/21] libxc:xc_dom_p2m_host 和 _guest 中
的範圍檢查 (Ian Jackson) [orabug 16902308] (CVE-2013-2194 CVE-2013-2195 CVE-2013-2196)

- [PATCH 21/21] libxc:在於 xc_dom_check_gzip 中繼續之前檢查 blob 大小 (Matthew Daley) [orabug 16902308] (CVE-2013-2194 CVE-2013-2195 CVE-2013-2196)

- libxc:針對 XSA-55 修補程式集定義 INVALID_MFN (Chuck Anderson) [orabug 16902308] (CVE-2013-2194 CVE-2013-2195 CVE-2013-2196)

- 修正頁面表格釘選錯誤路徑中的頁面重新計數處理問題 (Andrew Cooper) [orabug 16949882] (CVE-2013-1432)

- 移除 CVE-2013-1919 (Chuck Anderson) [orabug 16635741] (CVE-2013-1919)

- x86:將 vcpu_destroy_pagetables 設為搶佔式 (Jan Beulich) [orabug 16714903] (CVE-2013-1918)

- x86:將 new_guest_cr3 設為搶佔式 (Jan Beulich) [orabug 16714903] (CVE-2013-1918)

- x86:將 MMUEXT_NEW_USER_BASEPTR 設為搶佔式 (Jan Beulich) [orabug 16714903] (CVE-2013-1918)

- x86:將 vcpu_reset 設為搶佔式 (Jan Beulich) [orabug 16714903] (CVE-2013-1918)

- x86:將 arch_set_info_guest 設為搶佔式 (Jan Beulich) [orabug 16714903] (CVE-2013-1918)

- x86:將頁面表格取消釘選設為搶佔式 (Jan Beulich) [orabug 16714903] (CVE-2013-1918)

- x86:將頁面表格處理錯誤路徑設為搶佔式 (Jan Beulich) [orabug 16714903] (CVE-2013-1918)

解決方案

更新受影響的套件。

另請參閱

http://www.nessus.org/u?82e75a28

Plugin 詳細資訊

嚴重性: High

ID: 79521

檔案名稱: oraclevm_OVMSA-2013-0074.nasl

版本: 1.5

類型: local

已發布: 2014/11/26

已更新: 2021/1/4

支援的感應器: Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.0

CVSS v2

風險因素: High

基本分數: 7.4

時間分數: 6.4

媒介: CVSS2#AV:A/AC:M/Au:S/C:C/I:C/A:C

弱點資訊

CPE: p-cpe:/a:oracle:vm:xen, p-cpe:/a:oracle:vm:xen-64, p-cpe:/a:oracle:vm:xen-debugger, p-cpe:/a:oracle:vm:xen-devel, p-cpe:/a:oracle:vm:xen-pvhvm-devel, p-cpe:/a:oracle:vm:xen-tools, cpe:/o:oracle:vm_server:2.2

必要的 KB 項目: Host/local_checks_enabled, Host/OracleVM/release, Host/OracleVM/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2013/10/16

弱點發布日期: 2012/10/31

參考資訊

CVE: CVE-2012-4544, CVE-2013-1432, CVE-2013-1918, CVE-2013-1919, CVE-2013-2194, CVE-2013-2195, CVE-2013-2196, CVE-2013-4355, CVE-2013-4361, CVE-2013-4368

BID: 56289, 59292, 59615, 60701, 60702, 60703, 60799, 62708, 62710, 62935