OracleVM 3.2:dhcp (OVMSA-2016-0058)
high Nessus Plugin ID 91742
語系:
概要
遠端 OracleVM 主機缺少一個安全性更新。說明
遠端 OracleVM 系統缺少可解決重要安全性更新的必要修補程式:- 當 dhclient 以「-1」為開頭時,傳送 DHCPDECLINE 之後的 exit(2) (RHBZ #756490)
- 處理格式錯誤的用戶端識別碼中存在一個錯誤,可在受影響的伺服器中造成拒絕服務情形。(CVE-2012-3571、#843125)
- 將 libdhcp 逾時傳播至內部 timeout_arg (RHBZ #736515)
- 造成伺服器在處理特定封包時終止的兩個缺失 (CVE-2011-2748、CVE-2011-2749、#729881)
- dhclient.conf(5)、dhclient(8) 提及預設也要求 interface-mtu 選項 (RHBZ #694264)
- 更好的 CVE-2011-0997 修正:使網域名稱檢查更寬鬆 (RHBZ #690577)
- dhclient 預設要求 interface-mtu 選項 (RHBZ #694264)
- dhclient.conf(5) 修正 (RHBZ #585855)
- 使 dhcpd init 指令碼與 LSB 相容 (RHBZ #610128)
- 使用 PID 在 dhclient 中植入亂數產生器 (RHBZ #623953)
- 新增 DHCRELAYARGS 變數至 /etc/sysconfig/dhcrelay (RHBZ #624965)
- 除非實際嘗試重新平衡,否則不會記錄「租用不平衡」訊息 (RHBZ #661939)
- 明確清除 ARP 快取並排清所有位址和路由,而非關閉介面 (RHBZ #685048)
- IPoIB 支援 (RHBZ #660679)
- dhclient:對某些 DHCP 回應值的清理不充分 (CVE-2011-0997、#690577)
- 如果 partner-down 容錯移轉伺服器能夠新分配對等端的租用其中之一,就不會再發出「對等端保留所有免費租用」。(RHBZ #610219)
- 現在已根據偏好設定排序伺服器的「依用戶端 ID」和「依硬體位址」雜湊表清單,以便將該租用重新配置給傳回的用戶端。這應該會消除當「INIT」用戶端被給予新租用而非目前有效的租用時所造成的集區耗盡問題。(RHBZ #615995)
解決方案
更新受影響的 dhclient 套件。另請參閱
https://oss.oracle.com/pipermail/oraclevm-errata/2016-June/000486.html
Plugin 詳細資訊
嚴重性: High
ID: 91742
檔案名稱: oraclevm_OVMSA-2016-0058.nasl
版本: 2.7
類型: local
已發布: 2016/6/22
已更新: 2021/1/4
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.1
CVSS v2
風險因素: High
基本分數: 7.8
時間分數: 6.4
媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C
弱點資訊
CPE: p-cpe:/a:oracle:vm:dhclient, cpe:/o:oracle:vm_server:3.2
必要的 KB 項目: Host/local_checks_enabled, Host/OracleVM/release, Host/OracleVM/rpm-list
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2016/6/21
弱點發布日期: 2011/4/8
可惡意利用
CANVAS (CANVAS)
參考資訊
CVE: CVE-2011-0997, CVE-2011-2748, CVE-2011-2749, CVE-2012-3571