OracleVM 3.2:rpm (OVMSA-2016-0077)

high Nessus Plugin ID 91753

Synopsis

遠端 OracleVM 主機缺少一個或多個安全性更新。

描述

遠端 OracleVM 系統缺少可解決重要安全性更新的必要修補程式:

- 在 /usr/share/doc/ 中新增遺漏的檔案

- 修正套用 #1163057 的修補程式時的警告

- 修正未檢查之資料暴露在檔案系統中而引起的爭用情形 (CVE-2013-6435)(#1163057)

- 修正標頭卸載失敗時 rpmdb 上新增分割錯誤的問題 (#706935)

- 修正無效 OpenPGP 封包上的分割錯誤 (#743203)

- 考量排除和固定連結 wrt 承載大小上限 (#716853)

- 修正位元組由大到小系統上的承載大小標籤產生 (#648516)

- 追蹤交易內的所有安裝失敗 (#671194)

- 修正變更記錄 (錯誤 #707677 實際上是 #808547)

- 手冊頁中的文件 -D 與 -E 選項 (#814602)

- 要求在彩色交易時比對 freshen 的 arch (#813282)

- 為 debugedit 新增 DWARF 3 和 4 支援 (#808547)

- 不再將 \n 加入至 Python 繫結中的群組標籤 (#783451)

- 修正日文 rpm 手冊頁中的錯字 (#760552)

- 將 Geode 相容性升級至 i686 (#620570)

- 套件/標頭讀取時正確驗證區域標籤 (CVE-2012-0060)

- 對照標頭大小再次檢查區域大小 (CVE-2012-0061)

- 同時在 headerVerifyInfo 中驗證無效的位移 (CVE-2012-0815)

- 還原 #740291 的修正,太多套件依賴損毀行為

- 將 XZ 壓縮來源和修補程式的支援新增至 rpmbuild (#620674)

- 關閉 NULL fd 時,避免不必要的 assert-death (#573043)

- 新增程式碼片段錯誤通知回呼 (#533831)

- 同時接受 pre- 和 posttrans 程式碼片段的 --noscripts (#740345)

- 從 python 列印空的 ds 時,避免假的錯誤 (#628883)

- 檔案衝突更正和一致性修正 (#740291)

- 必要時,建立用於交易鎖定的目錄 (#510469)

- 僅在交易期間強制執行預設的 umask (#673821)

- 修正 CVE 反向移植中的 thinko

- 修正 CVE-2011-3378 (#742157)

- 接受 gpg 金鑰中的 windows cr/lf 行結尾 (#530212)

- 從 rpm 4.8.x 反向移植 multilib 排序修正 (#641892)

解決方案

更新受影響的套件。

另請參閱

https://oss.oracle.com/pipermail/oraclevm-errata/2016-June/000492.html

Plugin 詳細資訊

嚴重性: High

ID: 91753

檔案名稱: oraclevm_OVMSA-2016-0077.nasl

版本: 2.6

類型: local

已發布: 2016/6/22

已更新: 2021/1/4

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: High

基本分數: 9.3

時間分數: 6.9

媒介: AV:N/AC:M/Au:N/C:C/I:C/A:C

時間媒介: E:U/RL:OF/RC:C

弱點資訊

CPE: p-cpe:/a:oracle:vm:popt, p-cpe:/a:oracle:vm:rpm, p-cpe:/a:oracle:vm:rpm-libs, p-cpe:/a:oracle:vm:rpm-python, cpe:/o:oracle:vm_server:3.2

必要的 KB 項目: Host/local_checks_enabled, Host/OracleVM/release, Host/OracleVM/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2016/6/21

弱點發布日期: 2011/12/24

參考資訊

CVE: CVE-2011-3378, CVE-2012-0060, CVE-2012-0061, CVE-2012-0815, CVE-2013-6435

BID: 49799, 52865, 71558