检测

Oracle Linux 7:qemu-kvm (ELSA-2015-0349)

high Nessus 插件 ID 81803

语言:

简介

远程 Oracle Linux 主机缺少一个或多个安全更新。

描述

远程 Oracle Linux 7 主机上安装的多个程序包受到 ELSA-2015-0349 公告中提及的多个漏洞影响。

 - 解决了 bz#1169456CVE-2014-8106 qemu-kvmqemu:cirrus blit 区域检查不充分 [rhel-7.1]
 - 解决了 bz#1163078CVE-2014-7840 qemu-kvm qemu在 RAM 加载期间参数验证不充分 [rhel-7.1]
 - 解决了 bz#1157645CVE-2014-7815 qemu-kvmqemuvnc 来自客户端的 bits_per_pixel 清理不足 [rhel-7.1]
 - 解决了 bz#1144820CVE-2014-3640 qemu-kvmqemuslirpsosendto() 中的空指针取消引用 [rhel-7.1]
 - 解决了 bz#1139118CVE-2014-3615 qemu-kvmQemu 客户机设置高分辨率时发生崩溃 [rhel-7.1]
 - 解决了 bz#1122147CVE-2014-5263 vmstate_xhci_event修复未结束的字段列表
 - kvm-qcow1-Validate-L2-table-size-CVE-2014-0222.patch [bz#1097230]
 - kvm-qcow1-Validate-image-size-CVE-2014-0223.patch [bz#1097237]
 - 解决了 bz#1095678 (CVE-2013-4148 qemu-kvmqemu: virtio-net无效状态加载时的缓冲区溢出 [rhel-7.1]
 - 解决了 bz#1095685CVE-2013-4149 qemu-kvmqemu: virtio-net加载时越界缓冲区写入 [rhel-7.1]
 - 解决了 bz#1095690CVE-2013-4150 qemu-kvmqemu: virtio-net无效状态加载时的越界缓冲区写入 [rhel-7.1]
 - 解决了 bz#1095695CVE-2013-4151 qemu-kvmqemuvirtio无效状态加载时的越界缓冲区写入 [rhel-7.1]
 - 解决了 bz#1095707CVE-2013-4527 qemu-kvmqemuhpet无效状态加载时的缓冲区溢出 [rhel-7.1]
 - 解决了 bz#1095716CVE-2013-4529 qemu-kvm qemuhw/pci/pcie_aer.c无效状态加载时的缓冲区溢出 [rhel-7.1]
 - 解决了 bz#1095738 (CVE-2013-6399 qemu-kvmqemunetio传入的迁移中存在缓冲区溢出 [rhel-7.1]
 - 解决了 bz#1095742 (CVE-2013-4542 qemu-kvm qemu: virtio-scsi无效状态加载时的缓冲区溢出 [rhel-7.1]
 - 解决了 bz#1095747CVE-2013-4541 qemu-kvmqemuusbpost_load 中 setup_index+setup_len 的健全性检查不充分 [rhel-7.1]
 - 解决了 bz#1095766 (CVE-2013-4535 CVE-2013-4536 qemu-kvmqemuvirtio映射时 num_sg 验证不充分 [rhel-7.1]
 - 解决了 bz#1095783CVE-2014-0182 qemu-kvmqemuvirtio使用无效 config_len 的状态加载时发生越界缓冲区写入 [rhel-7.1]
 - 解决了 bz#1096829CVE-2014-3461 qemu-kvmQemu: usb 修复加载后检查 [rhel-7.1]
 - 解决了 bz#1097230 (CVE-2014-0222 qemu-kvmQemuqcow1 验证 L2 表大小以避免整数溢出 [rhel-7.1])
 - 解决了 bz#1097237 (CVE-2014-0223 qemu-kvmQemuqcow1 验证图像大小以避免越界内存访问 [rhel-7.1])

Tenable 已直接从 Oracle Linux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://linux.oracle.com/errata/ELSA-2015-0349.html

插件详情

严重性: High

ID: 81803

文件名: oraclelinux_ELSA-2015-0349.nasl

版本: 1.14

类型: local

代理: unix

发布时间: 2015/3/13

最近更新时间: 2025/4/29

支持的传感器: Frictionless Assessment Agent, Nessus Agent, Continuous Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.5

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 5.5

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2014-7840

CVSS v3

风险因素: High

基本分数: 7.5

时间分数: 6.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

CVSS 分数来源: CVE-2014-7815

漏洞信息

CPE: p-cpe:/a:oracle:linux:libcacard-devel, p-cpe:/a:oracle:linux:qemu-img, p-cpe:/a:oracle:linux:qemu-kvm-common, p-cpe:/a:oracle:linux:libcacard-tools, p-cpe:/a:oracle:linux:libcacard, cpe:/o:oracle:linux:7, p-cpe:/a:oracle:linux:qemu-kvm, p-cpe:/a:oracle:linux:qemu-kvm-tools

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux

易利用性: No known exploits are available

补丁发布日期: 2015/3/12

漏洞发布日期: 2014/11/7

参考资料信息

CVE: CVE-2014-3640, CVE-2014-7815, CVE-2014-7840, CVE-2014-8106

BID: 66932, 66976, 67357, 67391, 67392, 67394, 67483, 69247, 69654, 70237, 70998, 71477, 71658

RHSA: 2015:0349