OracleVM 3.2:xen (OVMSA-2014-0001)
medium Nessus Plugin ID 79529
語系:
概要
遠端 OracleVM 主機缺少一個或多個安全性更新。說明
遠端 OracleVM 系統缺少可解決重要安全性更新的必要修補程式:- flask:限制由 hypercall 介面執行的配置。除了 4.2 版和更新版本外,我們目前並未發現溢位問題,但是有些未受控制的作業洩漏問題,會導致主機開放,從而讓任意來賓耗盡主機的記憶體。由於除了 FLASK_LOAD 外的所有作業都只會處理 ASCII 字串,因此我們目前能做的最好處置就是,將配置 (和內送緩衝區大小) 記憶體限制在一個頁面的量。
如此一來,為了不將更大的配置量暴露給任意來賓,必須將 FLASK_LOAD 權限檢查提到配置之前進行 (另外提醒一點,就我所知,在保留 sel_sem 微調鎖定的情況下執行毫無意義)。請注意,這會使具有充分 CPU 之系統上的 FLASK_AVC_CACHESTATS 發生中斷 (因為這需要比 PAGE_SIZE 更大的緩衝區)。目前並未嘗試解決此問題,因為這只會使問題修正變得更複雜,益處不大。這是 XSA-84。
系統不一定會每次都檢查 FLASK_[GET,SET]BOOL 中布林值變數索引的陣列邊界。
18205362] (CVE-2014-1892、CVE-2014-1893)
- libxc︰修正 xc_cpupool_getinfo 處理過程中的記憶體不足錯誤避免釋出資訊又將資訊傳回給呼叫者。這是 XSA-88。Coverity-ID:1056192
18206135] [CVE-2014-XXXX]
解決方案
更新受影響的 xen / xen-devel / xen-tools 套件。另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 79529
檔案名稱: oraclevm_OVMSA-2014-0001.nasl
版本: 1.5
類型: local
已發布: 2014/11/26
已更新: 2021/1/4
支援的感應器: Nessus
風險資訊
VPR
風險因素: Low
分數: 3.6
CVSS v2
風險因素: Medium
基本分數: 5.2
時間分數: 4.5
媒介: CVSS2#AV:A/AC:M/Au:S/C:N/I:N/A:C
弱點資訊
CPE: p-cpe:/a:oracle:vm:xen, p-cpe:/a:oracle:vm:xen-devel, p-cpe:/a:oracle:vm:xen-tools, cpe:/o:oracle:vm_server:3.2
必要的 KB 項目: Host/local_checks_enabled, Host/OracleVM/release, Host/OracleVM/rpm-list
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2014/2/13
弱點發布日期: 2014/4/1
參考資訊
CVE: CVE-2014-1892, CVE-2014-1893
BID: 65419