概要
遠端 SUSE 主機缺少一個或多個安全性更新。
說明
SUSE Linux Enterprise 12 SP1 核心已更新至 3.12.51,獲得多個安全性和錯誤修正。
已新增下列功能:
- hwrng:新增 power7+ systems 中發現的 hwrng 的驅動程式 (fate#315784)。
已修正下列安全性錯誤:
- CVE-2015-8215:在 Linux 核心中,IPv6 堆疊內的 net/ipv6/addrconf.c 未驗證嘗試變更的 MTU 值,其允許內容相依的攻擊者透過 (1) 比最小相容值更小的值,或是 (2) 比介面的 MTU 更大的值,造成拒絕服務 (封包遺失);程序未驗證路由器廣告 (RA) 訊息的情況即為一例。此弱點與 CVE-2015-0272 不同。(bsc#955354)
- CVE-2015-5156:在 Linux 核心中,drivers/net/virtio_net.c 的 virtnet_probe 函式嘗試在無適當記憶體配置的情況下支援 FRAGLIST 功能,其允許來賓作業系統使用者透過特製的片段封包序列,造成拒絕服務 (緩衝區溢位和記憶體損毀) (bnc#940776)。
- CVE-2015-7872:Linux 核心的 security/keys/gc.c 中的 key_gc_unused_keys 函式允許本機使用者透過特製的 keyctl 命令造成拒絕服務 (OOPS) (bnc#951440)。
- CVE-2015-7799:Linux 核心的 drivers/net/slip/slhc.c 中的 slhc_init 函式並不確保某些插槽數有效,這允許本機使用者透過特製的 PPPIOCSMAXCID ioctl 呼叫造成拒絕服務 (NULL 指標解除參照與系統當機) (bnc#949936)。
- CVE-2015-2925:Linux 核心的 fs/dcache.c 中的 prepend_path 函式並未正確處理 bind 掛載內的重新命名動作,這允許本機使用者透過重新命名與「double-chroot 攻擊」相關的目錄,繞過預定的容器保護機制 (bnc#926238)。
- CVE-2015-7990:RDS:建立連線前,確認存在基礎傳輸,防止可能發生的 DoS (bsc#952384)。
下列非安全性錯誤已修正:
- af_iucv:避免 shutdown() 內的中斷路徑發生路徑靜止 (bnc#954986、LTC#131684)。
- alsa:hda - 停用 Creative HDA 控制器的 64 位元位址 (bnc#814440)。
- alsa:hda - 修正 Thinkpad T440s 上的噪音問題 (boo#958504)。
- alsa:hda - 修正 Thinkpad T440s 上的噪音問題 (boo#958504)。
- apparmor:允許 SYS_CAP_RESOURCE 調用 prlimit 設置其他工作 (bsc#921949)。
- audit:正確記錄具有不同路徑名稱類型的檔案名稱 (bsc#950013)。
- audit:在稽核 inode 時建立私人檔案名稱複本 (bsc#950013)。
- bcache:新增 btree_insert_node() (bnc#951638)。
- bcache:新增明確的金鑰清單引數至 btree_insert() (bnc#951638)。
- bcache:備份裝置集,在完成卸離之後清除 (bsc#951638)。
- bcache:備份裝置集,在完成卸離之後清除 (bsc#951638)。
- bcache:清理金鑰清單程式碼 (bnc#951638)。
- bcache:將 btree_insert_check_key() 轉換至 btree_insert_node() (bnc#951638)。
- bcache:將 bucket_wait 轉換至 wait_queue_head_t (bnc#951638)。
- bcache:將 try_wait 轉換至 wait_queue_head_t (bnc#951638)。
- bcache:明確追蹤 btree 節點的父項 (bnc#951638)。
- bcache:卸離時修正錯誤 (bsc#951638)。
- bcache:修正錯誤路徑中的 lockdep 展開 (bnc#951638)。
- bcache:修正一個關機錯誤 (bsc#951638)。
- bcache:修正更多提前關機錯誤 (bsc#951638)。
- bcache:修正僅具有快閃記憶體之裝置關機時展開的 sysfs (bsc#951638)。
- bcache:一次插入多個金鑰 (bnc#951638)。
- bcache:終止關閉鎖定使用 (bnc#951638)。
- bcache:重構日誌記錄流量控制 (bnc#951638)。
- bcache:重構 request_write() (bnc#951638)。
- bcache:使用 blkdev_issue_discard() (bnc#951638)。
- btrfs:調整交付交易的條件以進一步避免 NO_SPACE (bsc#958647)。
- btrfs:調整交付交易的條件以進一步避免 NO_SPACE (bsc#958647)。
- btrfs:cleanup:移除 btrfs_check_data_free_space() 中未使用的 alloc_chunk (bsc#958647)。
- btrfs:cleanup:移除 btrfs_check_data_free_space() 中未使用的 alloc_chunk (bsc#958647)。
- btrfs:修正交付交易的條件 (bsc#958647)。
- btrfs:修正交付交易的條件 (bsc#958647)。
- btrfs:修正複製內嵌範圍後的檔案損毀和資料遺失 (bnc#956053)。
- btrfs:修正空間不足錯誤 (bsc#958647)。
- btrfs:修正空間不足錯誤 (bsc#958647)。
- btrfs:修正 find_free_dev_extent() 中的結尾空間處理 (bsc#958647)。
- btrfs:修正 find_free_dev_extent() 中的結尾空間處理 (bsc#958647)。
- btrfs:修正移除區塊群組所需要的交易單元數 (bsc#958647)。
- btrfs:修正移除區塊群組所需要的交易單元數 (bsc#958647)。
- btrfs:修正已壓縮和內嵌範圍的截斷問題 (bnc#956053)。
- btrfs:設定清除 btrfs_block_group_cache->pinned 時的相關資料 (bsc#958647)。
- btrfs:設定清除 btrfs_block_group_cache->pinned 時的相關資料 (bsc#958647)。
- btrfs:在刪除 ENOSPC 之後的未使用區塊群組時使用全域保留 (bsc#958647)。
- btrfs:在刪除 ENOSPC 之後的未使用區塊群組時使用全域保留 (bsc#958647)。
- cache:修正僅具有快閃記憶體之裝置關機時展開的 sysfs (bsc#951638)。
- cpu:將 smpboot kthread unparking 延遲到排程器已知的 CPU 為止 (bsc#936773)。
- cpusets、isolcpus:從 cpusets 的負載平衡排除 isolcpus (bsc#957395)。
- cxgb4i:將 MAX_IMM_TX_PKT_LEN 的值從 128 增加到 256 位元組 (bsc#950580)。
- dlm:使 posix 鎖定能夠中斷 (bsc#947241)。
- dmapi:修正 xfs dmapi,使其不要解鎖而是鎖定 XFS_ILOCK_EXCL (bsc#949744)。
- dm:如果會與之前要求合併,則不啟動目前要求 (bsc#904348)。
- dm:為 dm_request_fn 的合併啟發方式設下可設定的期限 (bsc#904348)。
- dm-snap:避免在分割讀取時在 s->lock 上鎖死 (bsc#939826)。
- dm sysfs:引入新增可寫入屬性的功能 (bsc#904348)。
- drm:用戶端變成主機時配置新的主機物件 (bsc#956876、bsc#956801)。
- drm:修正「struct drm_file」的 KABI (bsc#956876、bsc#956801)。
- drm/i915:將熱插拔啟動期間新增至熱插拔更新遮罩 (bsc#953980)。
- drm/i915:清理背光條件版本 (bsc#941113)。
- drm/i915:針對背光暫存器上的列印進行除錯 (bsc#941113)。
- drm/i915:啟用時執行完整的背光設定 (bsc#941113)。
- drm/i915:不在 KMS 中儲存/還原背光暫存器 (bsc#941113)。
- drm/i915:不存在背光時消除大量警告 (bsc#941113)。
- drm/i915:修正第 2 代到第 3 代背光設定 (bsc#941113、bsc#953971)。
- drm/i915:修正第 3 代自我重新整理浮水印 (bsc#953830、bsc#953971)。
- drm/i915:修正面板停用時遺漏的背光更新 (bsc#941113)。
- drm/i915:修正 830/845g 上的 SRC_COPY 寬度 (bsc#758040)。
- drm/i915:設定時收集背光資訊 (bsc#941113)。
- drm/i915:透過晶片專用函式處理背光 (bsc#941113)。
- drm/i915:忽略 eDP 偵測的「數位輸出」和「非 HDMI 輸出」位元 (bsc#949192)。
- drm/i915:使 asle 通知在所有連接器上更新背光 (bsc#941113)。
- drm/i915:使背光資訊按連接器顯示 (bsc#941113)。
- drm/i915:將設為啟用/停用的背光層級移動到勾點 (bsc#941113)。
- drm/i915:將 opregion asle 要求處理移動至工作佇列 (bsc#953826)。
- drm/i915:nuke 取得最大的背光函式 (bsc#941113)。
- drm/i915/opregion:修正 CONFIG_ACPI=n 上的版本錯誤 (bsc#953826)。
- drm/i915:還原從 ACPI 轉換時的背光精確度 (bsc#941113)。
- drm/i915/tv:新增 ->get_config 回呼 (bsc#953830)。
- drm/i915:也針對 i915gm/i945gm 使用背光舊版組合模式 (bsc#941113)。
- drm/i915:使用初始化的背光最大值,而非讀取該值 (bsc#941113)。
- drm/i915:vlv 在背光暫存器中沒有管道欄位 (bsc#941113)。
- fanotify:修正具有 inode 和掛載標記的群組通知 (bsc#955533)。
- 修正 remove_and_add_spares,移除在 slot_store 中新增做為備用的磁碟機 (bsc#956717)。
- genksyms:處理參照檔案中含有空格的字串常值 (bsc#958510)。
- genksyms:處理參照檔案中含有空格的字串常值 (bsc#958510)。
- hwrng:新增 power7+ systems 中發現的 hwrng 驅動程式 (fate#315784),在非 RT 核心中使差異降至最小。
- ipv4:勿透過資料包太大的訊息增加 PMTU (bsc#955224)。
- ipv6:針對多點傳送與連結本機封包按裝置區別 frag 佇列 (bsc#955422)。
- ixgbe:以 X550 修正損毀的 PFC (bsc#951864)。
- ixgbe:使用正確的 fcoe ddp 最大值檢查 (bsc#951864)。
- kabi:修正 mm/util.c 中的假性 kabi 變更。
- kABI:保護結構 ahci_host_priv。
- kabi:還原結構 iscsi_tpg_attrib 中的 kabi (bsc#954635)。
- kabi:還原結構 se_cmd 中的 kabi (bsc#954635)。
- kabi:還原結構 se_subsystem_api 中的 kabi (bsc#954635)。
- ktime:新增 ktime_after 與 ktime_before 協助程式 (bsc#904348)。
- mm:分數認可限制計算 (VM 效能)。
- mm:去除 /proc/meminfo 中的「vmalloc_info」(VM 效能)。
- mm:hugetlbfs:為符合錯誤而取消對應私人頁面時,略過共用的 VMA (Automatic NUMA Balancing (fate#315482))。
- mm:移除 PAGE_FLAGS_CHECK_AT_FREE 中的 PG_waiters (bnc#943959)。
- mm:vmscan:一律不再隔離超過所需的頁面 (VM 效能)。
- 將 ktime_after 修補程式移動至網路區段
- nfsrdma:修正 NFSRDMA 伺服器中的迴歸 (bsc#951110)。
- pci:中斷「設定延遲計時器」訊息 (bsc#956047)。
- pci:以正確長度更新 VPD 大小 (bsc#924493)。
- perf/x86/intel/uncore:刪除 pci_dev_put() 呼叫之前的不必要檢查 (bsc#955136)。
- perf/x86/intel/uncore:刪除 pci_dev_put() 呼叫之前的不必要檢查 (bsc#955136)。
- perf/x86/intel/uncore:修正 perf_event_intel_uncore 的多區段問題 (bsc#955136)。
- perf/x86/intel/uncore:修正 perf_event_intel_uncore 的多區段問題 (bsc#955136)。
- pm、hinernate:在 release_swap_writer 中使用 put_page (bnc#943959)。
- rcu:消除 CPU 熱插拔與加速寬限期之間的鎖死 (bsc#949706)。
- 重新新增 copy_page_vector_to_user()
- ring-buffer:一律以 schedule_work_on() 執行每個 cpu 的環緩衝區重新調整大小 (bnc#956711)。
- route:使用 ipv4_mtu 而非 raw rt_pmtu (bsc#955224)。
- rpm/constraints.in:需要 POWER 上的 14GB 磁碟空間。版本開始因為 ENOSPC 錯誤而隨機失敗。
- rpm/kernel-binary.spec.in:一律為 ARM 構建 zImage
- rpm/kernel-binary.spec.in:不明確設定 DEBUG_SECTION_MISMATCH CONFIG_DEBUG_SECTION_MISMA 自 2.6.39 版本開始,TCH 即是可選的 Kconfig 選項,且已於組態中啟用。
- rpm/kernel-binary.spec.in:放置 %build_src_dir 巨集。其為 O= 目錄的父項目錄。
- rpm/kernel-binary.spec.in:確實傳遞 %{?_smp_mflags}
- rpm/kernel-binary.spec.in:在所有叫用中使用平行製作。此外,由於我們現已使用標準 rpm 巨集,因此移除了冗長的註解。
- rpm/kernel-binary.spec.in:使用上游指令碼支援 config.addon
- s390/dasd:使用有效路徑遮罩修正連線中斷的裝置 (bnc#954986、LTC#132707)。
- s390/dasd:修正暫停/恢復後的無效 PAV 指派 (bnc#954986、LTC#132706)。
- s390/dasd:修正 lcu 變更後的 list_del 損毀 (bnc#954986、LTC#133077)。
- sched:不是 affine_sd 時則呼叫 select_idle_sibling() (排程器效能)。
- sched/core:修正工作並執行佇列 sched_info::run_delay 不一致 (bnc#949100)。
- sched、isolcpu:使 cpu_isolated_map 在排程器之外仍可供檢視 (bsc#957395)。
- sched/numa:放置虛擬交錯群組時,檢查所有節點 (Automatic NUMA Balancing (fate#315482))。
- sched/numa:修正 task_tick_numa() 中的數學反向溢位 (Automatic NUMA Balancing (fate#315482))。
- sched/numa:僅考慮使用較不忙碌的節點做為 numa 平衡目的地 (Automatic NUMA Balancing (fate#315482))。
- sched:在獨立的 Kconfig 項目之下,放置費時的運行時間除錯檢查 (排程器效能)。
- scsi:hosts:更新以針對 host_no 使用 ida_simple (bsc#939926)
- sunrpc/快取:使快取排清更可靠 (bsc#947478)。
- sunrpc:修正追蹤 sunrpc_task 事件時 nfs 用戶端中的 oops (bnc#956703)。
- supported.conf:支援 peak_pci 和 sja1000:這 2 個 CAN 驅動程式已在 RT 核心中受到長期支援,因此我們也可以對其提供支援
- 目標/pr:修正 core_scsi3_pr_seq_non_holder() 呼叫者 (bnc#952666)。
- target:於 LUN RESET tmr 完成時傳送 UA (bsc#933514)。
- 目標:配置 UA 時使用「se_dev_entry」(bsc#933514)。
- 更新組態檔。(bnc#955644)
- 更新 kabi files 檔案,包含 sbc_parse_cdb 符號變更 (bsc#954635)。
- 介面陣列的 usbvision 修正溢位 (bnc#950998)。
- vmxnet3:在介面當機時調整環大小 (bsc#950750)。
- vmxnet3:修正 ethtool -S 以傳回正確的 rx 佇列狀態 (bsc#950750)。
- x86/efi:修正取得休眠金鑰時發生的無效參數錯誤 (fate#316350、bsc#956284)。
- x86/evtchn:使用 PHYSDEVOP_map_pirq。
- x86/mm:新增 TLB 追蹤點大小計算的括號 (VM 效能 (減少回收期間的 IPI))。
- x86/mm/hotplug:於移除記憶體時修改 PGD 項目 (VM 功能,bnc#955148)。
- x86/mm/hotplug:在 remove_pagetable() 中傳送正確的引數給 sync_global_pgds() (VM 功能,bnc#955148)。
- x86/tsc:使高延遲 PIT 在 quick_pit_calibrate() 中快速失敗 (bsc#953717)。
- xen:修正 EC2 設定中的開機當機 (bsc#956147)。
- xen:重新整理 patches.xen/xen-x86_64-m2p-strict (bsc#956147)。
- xen:將 Xen 修補程式更新至 3.12.50。
- xfs:一律在延伸 aio 寫入提交之前排出 dio (bsc#949744)。
- xfs:DIO 需要 ioend 才能寫入 (bsc#949744)。
- xfs:DIO 寫入完成大小會更新爭用 (bsc#949744)。
- xfs:EOF 內的 DIO 寫入不需要 ioend (bsc#949744)。
- xfs:直接 IO EOF 歸零需要排出 AIO (bsc#949744)。
- xfs:不為直接 I/O 完成配置 ioend (bsc#949744)。
- xfs:係數 DIO 從 get_blocks 寫入對應 (bsc#949744)。
- xfs:正確處理 DIO 覆寫 EOF 更新完成 (bsc#949744)。
- xfs:移動 DIO 對應大小計算 (bsc#949744)。
- xfs:不需要使用 generic_file_direct_write() (bsc#949744)。
- xhci:為 LynxPoint-LP 控制器新增假性喚醒 quirk (bnc#951165)。
- xhci:使 Intel xHCI 重設運作更可靠的因應措施 (bnc#957546)。
- zfcp:以 NPIV 修正 fc_host port_type (bnc#954986、LTC#132479)。
請注意,Tenable Network Security 已直接從 SUSE 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下,嘗試自動清理並將其格式化。
解決方案
若要安裝此 SUSE 安全性更新,請使用 YaST online_update。
或者,也可以執行針對您的產品所列的命令:
SUSE Linux Enterprise Workstation Extension 12-SP1:
zypper in -t patch SUSE-SLE-WE-12-SP1-2015-985=1
SUSE Linux Enterprise Software Development Kit 12-SP1:
zypper in -t patch SUSE-SLE-SDK-12-SP1-2015-985=1
SUSE Linux Enterprise Server 12-SP1:
zypper in -t patch SUSE-SLE-SERVER-12-SP1-2015-985=1
SUSE Linux Enterprise Module for Public Cloud 12:
zypper in -t patch SUSE-SLE-Module-Public-Cloud-12-2015-985=1
SUSE Linux Enterprise Live Patching 12:
zypper in -t patch SUSE-SLE-Live-Patching-12-2015-985=1
SUSE Linux Enterprise Desktop 12-SP1:
zypper in -t patch SUSE-SLE-DESKTOP-12-SP1-2015-985=1
若要使您的系統保持在最新狀態,請使用「zypper 修補程式」。
Plugin 詳細資訊
檔案名稱: suse_SU-2015-2292-1.nasl
代理程式: unix
支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
風險資訊
媒介: CVSS2#AV:L/AC:M/Au:N/C:C/I:C/A:C
媒介: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:H
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: p-cpe:/a:novell:suse_linux:kernel-default, p-cpe:/a:novell:suse_linux:kernel-default-base, p-cpe:/a:novell:suse_linux:kernel-default-base-debuginfo, p-cpe:/a:novell:suse_linux:kernel-default-debuginfo, p-cpe:/a:novell:suse_linux:kernel-default-debugsource, p-cpe:/a:novell:suse_linux:kernel-default-devel, p-cpe:/a:novell:suse_linux:kernel-default-extra, p-cpe:/a:novell:suse_linux:kernel-default-extra-debuginfo, p-cpe:/a:novell:suse_linux:kernel-default-man, p-cpe:/a:novell:suse_linux:kernel-syms, p-cpe:/a:novell:suse_linux:kernel-xen, p-cpe:/a:novell:suse_linux:kernel-xen-base, p-cpe:/a:novell:suse_linux:kernel-xen-base-debuginfo, p-cpe:/a:novell:suse_linux:kernel-xen-debuginfo, p-cpe:/a:novell:suse_linux:kernel-xen-debugsource, p-cpe:/a:novell:suse_linux:kernel-xen-devel, cpe:/o:novell:suse_linux:12
必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
可輕鬆利用: No known exploits are available