检测

Oracle Linux 6:RDMA / stack (ELSA-2013-1661)

high Nessus 插件 ID 71110

语言:

简介

远程 Oracle Linux 主机缺少一个或多个安全更新。

描述

来自 Red Hat 安全公告 2013:1661:

更新后的 rdma、libibverbs、libmlx4、librdmacm、qperf、perftest、openmpi、compat-openmpi、infinipath-psm、mpitests 和 rds-tools 程序包修复了两个安全问题和多个缺陷并添加了多种增强,现在可用于 Red Hat Enterprise Linux 6。

Red Hat 安全响应团队已将此更新评级为具有中等安全影响。可从“参考”部分中的 CVE 链接获取针对每个漏洞的通用漏洞评分系统 (CVSS) 基本分数,其给出了详细的严重性等级。

Red Hat Enterprise Linux 包含一系列 Infiniband 和 iWARP 实用工具、库,以及使用远程直接内存访问 (RDMA) 技术编写应用程序的开发程序包。

在 ibutils 处理临时文件的方式中发现一个缺陷。本地攻击者可利用此缺陷,以根用户身份通过符号链接攻击导致覆盖任意文件。
(CVE-2013-2561)

已发现 librdmacm 使用静态端口连接到 ib_acm 服务。能够在该端口上运行特别构建的 ib_acm 服务的本地攻击者可利用此缺陷向 librmdacm 应用程序提供错误的地址解析信息。
(CVE-2012-4516)

CVE-2012-4516 问题由 Red Hat 产品安全团队的 Florian Weimer 发现。

此公告将以下程序包更新到最新上游版本,并在之前版本的基础上提供大量缺陷补丁和增强:

* libibverbs-1.1.7 * libmlx4-1.0.5 * librdmacm-1.0.17 * mstflint-3.0 * perftest-2.0 * qperf-0.4.9 * rdma-3.10

已修复 openmpi、mpitests、ibutils 和 infinipath-psm 程序包中的多个缺陷。

这些更新后的程序包中 RDMA 堆栈最明显的变化如下:

* 已解决消息传递接口 (MPI) 测试程序包中的多种缺陷,允许更多 mpitest 应用程序传递底层 MPI 实现。

* libmlx4 程序包现在包含 dracut 模块文件,可确保任何必要的 mlx4 端口类型自定义配置包含在 initramfs dracut 版本中。

* perftest 和 qperf 程序包中的多个测试程序现在可通过 RoCE 接口正常运行,或者在指定使用 rdmacm 队列对时可正常运行。

* mstflint 程序包已更新到最新上游版本,现在能够刻录新版 Mellanox Connect-IB 硬件上的固件。

* 这些程序包的新版本已解决 openmpi 与 infinipath-psm 程序包之间的兼容性问题。

建议所有 RDMA 用户升级这些更新后的程序包,其中包含用于修正这些问题的向后移植的修补程序,并且添加了上述增强。

解决方案

更新受影响的 rdma 和/或 stack 程序包。

另见

https://linux.oracle.com/errata/ELSA-2013-1661.html

插件详情

严重性: High

ID: 71110

文件名: oraclelinux_ELSA-2013-1661.nasl

版本: 1.13

类型: local

代理: unix

发布时间: 2013/11/27

最近更新时间: 2024/10/22

支持的传感器: Continuous Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 4.4

CVSS v2

风险因素: Medium

基本分数: 6.3

时间分数: 4.9

矢量: CVSS2#AV:L/AC:M/Au:N/C:N/I:C/A:C

CVSS 分数来源: CVE-2013-2561

CVSS v3

风险因素: High

基本分数: 7.5

时间分数: 6.7

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

CVSS 分数来源: CVE-2012-4516

漏洞信息

CPE: p-cpe:/a:oracle:linux:rdma, p-cpe:/a:oracle:linux:infinipath-psm-devel, p-cpe:/a:oracle:linux:librdmacm-static, p-cpe:/a:oracle:linux:qperf, p-cpe:/a:oracle:linux:openmpi-devel, p-cpe:/a:oracle:linux:librdmacm-devel, p-cpe:/a:oracle:linux:mpitests-mvapich, p-cpe:/a:oracle:linux:mpitests-mvapich-psm, p-cpe:/a:oracle:linux:openmpi, p-cpe:/a:oracle:linux:librdmacm-utils, p-cpe:/a:oracle:linux:mpitests-mvapich2-psm, cpe:/o:oracle:linux:6, p-cpe:/a:oracle:linux:librdmacm, p-cpe:/a:oracle:linux:perftest, p-cpe:/a:oracle:linux:infinipath-psm, p-cpe:/a:oracle:linux:ibutils, p-cpe:/a:oracle:linux:libibverbs-devel, p-cpe:/a:oracle:linux:libibverbs, p-cpe:/a:oracle:linux:ibutils-libs, p-cpe:/a:oracle:linux:libmlx4, p-cpe:/a:oracle:linux:mpitests-openmpi, p-cpe:/a:oracle:linux:mpitests-mvapich2, p-cpe:/a:oracle:linux:libibverbs-devel-static, p-cpe:/a:oracle:linux:libibverbs-utils, p-cpe:/a:oracle:linux:ibutils-devel, p-cpe:/a:oracle:linux:libmlx4-static, p-cpe:/a:oracle:linux:mstflint

必需的 KB 项: Host/local_checks_enabled, Host/OracleLinux, Host/RedHat/release, Host/RedHat/rpm-list

易利用性: No known exploits are available

补丁发布日期: 2013/11/26

漏洞发布日期: 2012/10/22

参考资料信息

CVE: CVE-2012-4516, CVE-2013-2561

BID: 55896, 58335

RHSA: 2013:1661