概要
遠端 SUSE 主機缺少一個或多個安全性更新。
說明
SUSE Linux Enterprise Server 12 核心已更新至 3.12.39,可獲得多種安全性和錯誤修正。
已修正下列安全性錯誤:
- CVE-2015-0777:複製未初始化的記憶體可導致 XEN usb 後端洩漏資訊給來賓系統。
- CVE-2015-2150:Xen 和 Linux 核心未正確限制 PCI 命令暫存器的存取,這可允許本機來賓使用者停用 PCI Express 裝置的 (1) 記憶體或 (2) I/O 解碼後存取該裝置,藉此觸發 Unsupported Request (UR) 回應,進而造成拒絕服務 (非遮罩式插斷和主機損毀)。
下列非安全性錯誤已修正:
- 為 vtpm 模組新增 Little Endian 支援 (bsc#918620)。
- 新增 pnfs 區塊配置支援。修補程式尚未預設為隨附
- ALSA:hda - 修正 HD 音訊控制器遞補模式的迴歸 (bsc#921313)。
- btrfs:新增 btrfs_sync_log() 中遺漏的 blk_finish_plug (bnc#922284)。
- btrfs:查閱預設子磁碟區時清理孤立項目 (bsc#914818)。
- btrfs:不忽略 do_setxattr 中 btrfs_lookup_xattr 的錯誤 (bnc#922272)。
- btrfs:修正刪除未使用區塊群組時 btrfs_orphan_add() 中發生的 BUG_ON (bnc#922278)。
- btrfs:修正快速 fsync 路徑中的資料遺失 (bnc#922275)。
- btrfs:修正將硬連結新增至 inode 後發生的 fsync 資料遺失 (bnc#922275)。
- cgroup:還原來自 idr_remove 的 cgroup_mutex 移除 (bnc#918644)。
- cifs:修正 find_writable_file 中的釋放後使用錯誤 (bnc#909477)。
- crypto:rng - RNG 必須在成功情況下傳回 0 (bsc#920805)。
- crypto:testmgr - 修正 RNG 傳回碼強制執行 (bsc#920805)。
- exit:一律取得 __exit_signal() 中的資源統計資料 (Time 延展性)。
- fork:正確報告 pid 保留失敗 (bnc#909684)。
- fsnotify:修正稽核中的重新命名處理 (bnc#915200)。
- HID:hyperv:符合 wait_for_completion_timeout 傳回類型。
- hv:解決 hv_fcopy_daemon.c 的編譯器警告。
- hv:解決 hv_kvp_daemon.c 的編譯器警告。
- hv:檢查 vmbus_process_offer() 中的 vmbus_device_create() 傳回值。
- hv:不在 hv_start_fcopy() 中新增多餘的 /。
- hv:hv_balloon:不張貼來自插斷內容的壓力狀態。
- hv:hv_balloon:修正 balloon 驅動程式中的一個鎖定錯誤。
- hv:hv_balloon:調整 floor 計算方式。
- hv:hv_fcopy:傳輸失敗時中斷過時訊息。
- hv:kvp_daemon:使 IPv6-only-injection 運作。
- hv:從 kvp_update_file() 移除未使用的 bytes_written。
- hv:將 sc_lock 重命名為更通用的鎖定。
- hv:vmbus:修正 vmbus_establish_gpadl() 中的一個錯誤。
- hv:vmbus:hv_process_timer_expiration() 可為靜態。
- hv:vmbus:實作一個 clockevent 裝置。
- hv:vmbus:序列化 Offer 和 Rescind 項目。
- hv:vmbus:支援 vmbus API 以有效傳送頁面陣列。
- hv:vmbus:使用 get_cpu() 取得目前的 CPU。
- hyperv:修正疏鬆警告。
- hyperv:修正 netvsc_send() 中的錯誤處理。
- hyperv:符合 wait_for_completion_timeout 傳回類型。
- hyperv:netvsc.c:符合 wait_for_completion_timeout 傳回類型。
- iommu/vt-d:修正 iommu_attach_device 中的 dmar_domain 洩漏 (bsc#924460)。
- kabi、mm:防止 anon_vma 階層無限增長 (bnc#904242)。
- kABI:保護 procfs 中所含的 linux/namei.h。
- kABI:保護結構 hif_scatter_req。
- kabi/severities:停止維護 kgraft kabi
- kernel/sched/clock.c:新增其他時鐘以搭配軟鎖定看門狗使用 (bsc#919939)。
- kgr:允許修補程式要求核心的確切版本 (bnc#920615)。
- KVM:PPC:Book3S HV:pte 為位元組由大到小的方式 (bsc#920839)。
- mm:將 rest 轉換為新頁面表格鎖定 api (suse 限定案例) (fate#315482)。
- mm:修正 anon_vma 無限增長預防中的 anon_vma->degree 反向溢位 (bnc#904242)。
- mm:修正 anon_vma 無限增長預防中的邊角案例 (bnc#904242)。
- mm:防止 anon_vma 階層無限增長 (bnc#904242)。
- mm:防止 anon_vma 階層無限增長 mm:
防止 anon_vma 階層無限增長 (bnc#904242)。
- mm:vmscan:僅將中途分頁計為壅塞 (VM 效能,bnc#910517)。
- module:早期模組載入失敗後清理 ro/nx (bsc#921990)。
- module:標記模組 MODULE_STATE_COMING 前設定 nx (bsc#921990)。
- net:新增 netdev_adjacent 邏輯的 sysfs 協助程式 (bnc#915660)。
- net:更正 rtnl_newlink() 中的錯誤路徑 (bnc#915660)。
- net:修正相鄰裝置符號連結的建立 (bnc#915660)。
- net:防止跨命名空間符號連結出現 (bnc#915660)。
- net:裝置名稱變更時重新命名 sysfs 符號連結 (bnc#915660)。
- nfs:設定要求大小端點以符合 kmalloced 頁面陣列 (bnc#898675)。
- nfs:提交 fdatasync 中的配置 (bnc#898675)。
- NFSv4.1:如果有待處理的 pNFS LAYOUTCOMMIT 則不信任屬性 (bnc#898675)。
- NFSv4.1:確保配置重新呼叫回呼符合配置 stateid (bnc#898675)。
- NFSv4.1:確保在獲得新配置時釋放現有的配置區段 (bnc#898675)。
- NFSv4.1:修正 nfs4_write_inode 中的爭用情形 (bnc#898675)。
- NFSv4.1:修正 pnfs_seqid_is_newer() 中的換行問題 (bnc#898675)。
- NFSv4.1:微調 get_layout_by_fh_locked() 的最佳化 (bnc#898675)。
- NFSv4:不更新 open stateid,除非它比原有狀態新 (bnc#898675)。
- pnfs:新增通用 GETDEVICELIST 實作 (bnc#898675)。
- pnfs:新增 nfs4_get_deviceid 協助程式 (bnc#898675)。
- pnfs:新增在 ->write_begin 中強制
執行 read-modify-write 的旗標 (bnc#898675)。
- pnfs:新增 return_range 方法 (bnc#898675)。
- pnfs:允許將預先編碼的頁面接合至 layoutcommit 引數中 (bnc#898675)。
- pnfs:layoutreturn 後避免使用過時的 stateid (bnc#898675)。
- pnfs/blocklayout:為 layoutcommit 承載配置獨立頁面 (bnc#898675)。
- pnfs/blocklayout:正確遞減範圍長度 (bnc#898675)。
- pnfs/blocklayout:不設定頁面 uptodate (bnc#898675)。
- pnfs/blocklayout:修正 bl_map_stripe 中的一個 64 位元 division/remainder 問題 (bnc#898675)。
- pnfs/blocklayout:實作 return_range 方法 (bnc#898675)。
- pnfs/blocklayout:改善 GETDEVICEINFO 錯誤報告 (bnc#898675)。
- pnfs/blocklayout:包含 __vmalloc 的 vmalloc.h (bnc#898675)。
- pnfs/blocklayout:核心內 GETDEVICEINFO XDR 剖析 (bnc#898675)。
- pnfs/blocklayout:將所有與 rpc_pipefs 相關的程式碼移至單一檔案中 (bnc#898675)。
- pnfs/blocklayout:將範圍處理移至 blocklayout.c (bnc#898675)。
- pnfs/blocklayout:插入區塊佇列 (bnc#898675)。
- pnfs/blocklayout:重構範圍處理 (bnc#898675)。
- pnfs/blocklayout:拒絕大於頁面大小的 pnfs 區塊大小 (bnc#898675)。
- pNFS/blocklayout:移除多個未使用的變數 (bnc#898675)。
- pnfs/blocklayout:移除 bl_write_pagelist 中的 read-modify-write 處理 (bnc#898675)。
- pnfs/blocklayout:移除部分除錯 (bnc#898675)。
- pnfs/blocklayout:setattr 執行時傳回配置 (bnc#898675)。
- pnfs/blocklayout:重寫範圍追蹤 (bnc#898675)。
- pnfs/blocklayout:使用裝置 id 快取 (bnc#898675)。
- pnfs:layoutget 中有新 stateid 時不檢查序列 (bnc#898675)。
- pnfs:不傳遞未初始化的 lseg 至 ->free_lseg (bnc#898675)。
- pnfs:啟用 CB_NOTIFY_DEVICEID 支援 (bnc#898675)。
- pnfs:分解 GETDEVICEINFO 實作 (bnc#898675)。
- pnfs:重新呼叫期間若遇到忙碌區段,則強制執行配置提交 (bnc#898675)。
- pnfs:移除 GETDEVICELIST 實作 (bnc#898675)。
- pnfs:layoutget 出現不良 stateid 錯誤後重試 (bnc#898675)。
- powerpc:為 powerpc 新增 running_clock 以防止假性軟鎖定警告 (bsc#919939)。
- powerpc/pseries:修正 LE 移轉的 endian 問題 (bsc#918584)。
- 移除有關 deactivate_super 的 cgroup_mutex,因為其可能帶來危險。
- rtmutex:記錄 pi 鏈執行 (mutex 延展性)。
- rtmutex:不需要保留工作參照以進行鎖定擁有者檢查 (mutex 延展性)。
- rtmutex:簡化 rtmutex_slowtrylock() (mutex 延展性)。
- rtnetlink:修正 ->newlink 失敗時發生的記憶體洩漏問題 (bnc#915660)。
- sched:變更 thread_group_cputime() 以使用 for_each_thread() (Time 延展性)。
- sched:以 reinit_completion 取代 INIT_COMPLETION。
- sched、時間:自動遞增 stime 和 utime (Time 延展性)。
- scsi:storvsc:一律在選取的傳出通道上傳送。
- scsi:storvsc:不假設分散清單未鏈結。
- scsi:storvsc:啟用叢集。
- scsi:storvsc:修正 copy_from_bounce_buffer() 中的一個錯誤。
- scsi:storvsc:增加環緩衝區大小。
- scsi:storvsc:擷取有關目標功能的資訊。
- scsi:storvsc:根據主機提供的資訊設定表格大小。
- scsi:storvsc:根據環緩衝區大小設定佇列深度大小。
- storvsc:修正 storvsc 限制中的一個錯誤。
- storvsc:強制搜尋已移除的 LUN。
- storvsc:強制執行 win8 和 win8 r2 主機上的 SPC-3 相容性。
- storvsc:為回應掃描事件而掃描主機。
- 將 read_seqbegin_or_lock() 和朋友帶往 seqlock.h (Time 延展性)。
- tcp:防止在早期 demux 程式碼中擷取 dst 兩次 (bnc#903997 bnc#919719)。
- time、signal:透過 seqlock -kabi 保護資源使用統計資料 (Time 延展性)。
- time、signal:透過 seqlock 保護資源使用統計資料 (Time 延展性)。
- udp:只允許 SOCK_DGRAM 通訊端封包的 UFO (bnc#909309)。
- 更新 Xen 修補程式至 3.12.39。
- virtio:rng:新增降額因素供 hwrng 核心使用 (bsc#918615)。
- x86、AVX-512:AVX-512 功能偵測 (bsc#921527)。
- x86、AVX-512:啟用 AVX-512 狀態內容切換 (bsc#921527)。
- xenbus:針對交易新增來自 Xenbus 的 XS_ERROR 適當處理。
- xfs:xfs_alloc_fix_minleft 可反向溢位接近 ENOSPC (bnc#913080)。
請注意,Tenable Network Security 已直接從 SUSE 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下,嘗試自動清理並將其格式化。
解決方案
若要安裝此 SUSE 安全性更新,請使用 YaST online_update。
或者,也可以執行針對您的產品所列的命令:
SUSE Linux Enterprise Workstation Extension 12:
zypper in -t patch SUSE-SLE-WE-12-2015-152=1
SUSE Linux Enterprise Software Development Kit 12:
zypper in -t patch SUSE-SLE-SDK-12-2015-152=1
SUSE Linux Enterprise Server 12:
zypper in -t patch SUSE-SLE-SERVER-12-2015-152=1
SUSE Linux Enterprise Module for Public Cloud 12:
zypper in -t patch SUSE-SLE-Module-Public-Cloud-12-2015-152=1
SUSE Linux Enterprise Live Patching 12:
zypper in -t patch SUSE-SLE-Live-Patching-12-2015-152=1
SUSE Linux Enterprise Desktop 12:
zypper in -t patch SUSE-SLE-DESKTOP-12-2015-152=1
若要使您的系統保持在最新狀態,請使用「zypper 修補程式」。
Plugin 詳細資訊
檔案名稱: suse_SU-2015-0658-1.nasl
代理程式: unix
支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
風險資訊
媒介: CVSS2#AV:L/AC:L/Au:N/C:N/I:N/A:C
弱點資訊
CPE: p-cpe:/a:novell:suse_linux:kernel-default, p-cpe:/a:novell:suse_linux:kernel-default-base, p-cpe:/a:novell:suse_linux:kernel-default-base-debuginfo, p-cpe:/a:novell:suse_linux:kernel-default-debuginfo, p-cpe:/a:novell:suse_linux:kernel-default-debugsource, p-cpe:/a:novell:suse_linux:kernel-default-devel, p-cpe:/a:novell:suse_linux:kernel-default-extra, p-cpe:/a:novell:suse_linux:kernel-default-extra-debuginfo, p-cpe:/a:novell:suse_linux:kernel-default-man, p-cpe:/a:novell:suse_linux:kernel-syms, p-cpe:/a:novell:suse_linux:kernel-xen, p-cpe:/a:novell:suse_linux:kernel-xen-base, p-cpe:/a:novell:suse_linux:kernel-xen-base-debuginfo, p-cpe:/a:novell:suse_linux:kernel-xen-debuginfo, p-cpe:/a:novell:suse_linux:kernel-xen-debugsource, p-cpe:/a:novell:suse_linux:kernel-xen-devel, cpe:/o:novell:suse_linux:12
必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
可輕鬆利用: No known exploits are available