SUSE SLED11 / SLES11 安全性更新:Xen (SUSE-SU-2013:1774-1)

high Nessus Plugin ID 83602

概要

遠端 SUSE 主機缺少一個或多個安全性更新。

說明

XEN 已更新至版本 4.2.3 c/s 26170,修正了多個錯誤和安全性問題。

- CVE-2013-4416:XSA-72:修正不當處理超大訊息回覆的 ocaml xenstored

- CVE-2013-4355:XSA-63:修正透過 I/O 指示模擬的資訊洩漏

- CVE-2013-4361:XSA-66:修正透過 fbld 指示模擬的資訊洩漏

- CVE-2013-4368:XSA-67:修正透過 outs 指示模擬的資訊洩漏

- CVE-2013-4369:XSA-68:修正剖析 vif ratelimiting 資訊時的潛在 NULL 解除參照

- CVE-2013-4370:XSA-69:修正 ocaml xc_vcpu_getaffinity stub 中位置不正確的釋放

- CVE-2013-4371:XSA-70:修正 libxl_list_cpupool 中在記憶體壓力下的釋放後使用

- CVE-2013-4375:XSA-71:xen:qemu 磁碟後端 (qdisk) 資源洩漏

- CVE-2013-1442:XSA-62:修正支援 AVX 和/或 LWP 的 CPU 資訊洩漏

- CVE-2013-1432:XSA-58:因 XSA-45/CVE-2013-1918 修正而發生的頁面參照計數錯誤。

多種錯誤也已修正:

- UEFI 模式中的 xen 核心發生開機失敗,並出現「無記憶體供 trampoline 使用」錯誤 (bnc#833483)

- block-dmmd 指令碼的改善項目 (bnc#828623)

- 使用 e1000 裝置為 DomU 開機時,Dom0 上的 MTU 大小會重設 (bnc#840196)

- 在 HP 的 UEFI x86_64 平台及開機階段的 xen 環境中,xen Hypervisor 會發生錯誤。
(bnc#833251)

- Xen:從支援 xsave 到不支援 xsave 的主機移轉損壞 (bnc#833796)

- 在 xen 中,‘shutdown -y 0 -h’ 無法將系統關機 (bnc#834751)

- 在 HP 的 UEFI x86_64 平台及 xen 環境中,xen Hypervisor 會在多個刀鋒 nPar 中發生錯誤。
(bnc#839600)

- 將 Dom0 從 SLES 11 SP2 升級至 SP3 後,vcpus 並未啟動 (bnc#835896)

- SLES 11 SP3 Xen 安全性修補程式並未自動更新 UEFI 開機二進位 (bnc#836239)

- 當同時啟動多個 vms 時,無法針對 vm 執行個體設定裝置 (bnc#824676)

- 升級至 SLES 11 SP3 後,SLES 9 SP4 來賓無法啟動 (bnc#817799)

- 已包含多種上游修正。

請注意,Tenable Network Security 已直接從 SUSE 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下,嘗試自動清理並將其格式化。

解決方案

若要安裝此 SUSE 安全性更新,請使用 YaST online_update。
或者,也可以執行針對您的產品所列的命令:

SUSE Linux Enterprise Software Development Kit 11 SP3:

zypper in -t patch sdksp3-xen-201310-8479

SUSE Linux Enterprise Server 11 SP3:

zypper in -t patch slessp3-xen-201310-8479

SUSE Linux Enterprise Desktop 11 SP3:

zypper in -t patch sledsp3-xen-201310-8479

若要使您的系統保持在最新狀態,請使用「zypper 修補程式」。

另請參閱

http://support.novell.com/security/cve/CVE-2013-4368.html

http://support.novell.com/security/cve/CVE-2013-4369.html

http://support.novell.com/security/cve/CVE-2013-4370.html

http://support.novell.com/security/cve/CVE-2013-4371.html

https://bugzilla.novell.com/833796

https://bugzilla.novell.com/834751

https://bugzilla.novell.com/835896

https://bugzilla.novell.com/839596

https://bugzilla.novell.com/839600

https://bugzilla.novell.com/840196

https://bugzilla.novell.com/840592

https://bugzilla.novell.com/841766

https://bugzilla.novell.com/842511

https://bugzilla.novell.com/842512

https://bugzilla.novell.com/842513

https://bugzilla.novell.com/842514

https://bugzilla.novell.com/842515

https://bugzilla.novell.com/845520

http://www.nessus.org/u?f72f7687

http://www.nessus.org/u?6759046d

http://support.novell.com/security/cve/CVE-2013-1432.html

http://support.novell.com/security/cve/CVE-2013-1442.html

http://support.novell.com/security/cve/CVE-2013-1918.html

http://support.novell.com/security/cve/CVE-2013-4355.html

http://support.novell.com/security/cve/CVE-2013-4361.html

http://support.novell.com/security/cve/CVE-2013-4375.html

http://support.novell.com/security/cve/CVE-2013-4416.html

https://bugzilla.novell.com/817799

https://bugzilla.novell.com/824676

https://bugzilla.novell.com/826882

https://bugzilla.novell.com/828623

https://bugzilla.novell.com/833251

https://bugzilla.novell.com/833483

https://bugzilla.novell.com/836239

Plugin 詳細資訊

嚴重性: High

ID: 83602

檔案名稱: suse_SU-2013-1774-1.nasl

版本: 2.4

類型: local

代理程式: unix

已發布: 2015/5/20

已更新: 2021/1/19

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.0

CVSS v2

風險因素: High

基本分數: 7.4

時間分數: 5.5

媒介: CVSS2#AV:A/AC:M/Au:S/C:C/I:C/A:C

弱點資訊

CPE: p-cpe:/a:novell:suse_linux:xen, p-cpe:/a:novell:suse_linux:xen-doc-html, p-cpe:/a:novell:suse_linux:xen-doc-pdf, p-cpe:/a:novell:suse_linux:xen-kmp-default, p-cpe:/a:novell:suse_linux:xen-kmp-pae, p-cpe:/a:novell:suse_linux:xen-libs, p-cpe:/a:novell:suse_linux:xen-tools, p-cpe:/a:novell:suse_linux:xen-tools-domu, cpe:/o:novell:suse_linux:11

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2013/11/27

參考資訊

CVE: CVE-2013-1432, CVE-2013-1442, CVE-2013-1918, CVE-2013-4355, CVE-2013-4361, CVE-2013-4368, CVE-2013-4369, CVE-2013-4370, CVE-2013-4371, CVE-2013-4375, CVE-2013-4416

BID: 59615, 60799, 62630, 62708, 62710, 62930, 62931, 62932, 62934, 62935, 63404