Oracle VM VirtualBox 5.2.x < 5.2.24 / 6.0.x < 6.0.2 (Jan 2019 CPU)

medium Nessus Plugin ID 121247
新推出!弱點優先順序評分 (VPR)

Tenable 會為每個弱點計算動態 VPR。VPR 將弱點資訊與威脅情報和機器學習演算法加以結合,藉此預測攻擊者最有可能利用哪些弱點發動攻擊。查看詳細資訊: VPR 是什麼?它跟 CVSS 有何不同?

VPR 評分: 6.7

Synopsis

遠端主機上安裝的應用程式受到多個弱點影響。

描述

遠端主機上執行的 Oracle VM VirtualBox 為比 5.2.24 舊的 5.2.x 版或比 6.0.2 舊的 6.0.x 版。因此,會受到 2018 年 1 月重大修補程式更新公告所述多個弱點影響:- 在隨附的協力廠商元件 OpenSSL 程式庫的 DSA 簽章演算法中含有一個拒絕服務弱點,使其容易受到計時旁路攻擊。攻擊者可利用此弱點復原私密金鑰。(CVE-2018-0734) - Oracle VirtualBox 的 Core 元件中存在多個不明的弱點,可讓能夠登入 Oracle VM VirtualBox 執行所在的基礎架構的經驗證本機攻擊者入侵 Oracle VM VirtualBox。(CVE-2018-3309、CVE-2019-2500、CVE-2019-2520、CVE-2019-2521、CVE-2019-2522、CVE-2019-2523、CVE-2019-2524、CVE-2019-2526、CVE-2019-2548、CVE-2019-2552) - Oracle VirtualBox 的 Core 元件中存在多個不明的弱點,可能會讓能夠登入 Oracle VM VirtualBox 執行所在的基礎架構的經驗證本機攻擊者暴露重要或機密的資料。(CVE-2019-2446、CVE-2019-2448、CVE-2019-2450、CVE-2019-2451、CVE-2019-2501、CVE-2019-2504、CVE-2019-2505、CVE-2019-2506、CVE-2019-2525、CVE-2019-2553、CVE-2019-2554、CVE-2019-2555、CVE-2019-2556) - Oracle VirtualBox 的 Core 元件中存在多個拒絕服務弱點,可能會讓能夠登入 Oracle VM VirtualBox 執行所在的基礎架構的經驗證本機攻擊者造成拒絕服務情形。(CVE-2019-2508、CVE-2019-2509、CVE-2019-2527) - Oracle VirtualBox 的 Core 元件中,存在一個 SOAP 通訊協定的拒絕服務弱點,可能會讓未經驗證的遠端攻擊者造成拒絕服務情形。(CVE-2019-2511) 請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼。

解決方案

升級版本至 2019 年 1 月 Oracle 重大修補程式更新公告中所述的 Oracle VM VirtualBox 5.2.24、6.0.2 或更新版本。

另請參閱

http://www.nessus.org/u?0dcafb3e

https://www.virtualbox.org/wiki/Changelog

Plugin 詳細資訊

嚴重性: Medium

ID: 121247

檔案名稱: virtualbox_jan_2019_cpu.nasl

版本: 1.6

類型: local

代理程式: windows, macosx, unix

系列: Misc.

已發布: 2019/1/18

已更新: 2019/11/1

相依性: virtualbox_installed.nasl, macosx_virtualbox_installed.nbin

風險資訊

風險因素: Medium

VPR 評分: 6.7

CVSS 評分資料來源: CVE-2019-2551

CVSS v2.0

基本分數: 5.8

時間分數: 4.5

媒介: AV:N/AC:M/Au:N/C:P/I:P/A:N

時間媒介: E:POC/RL:OF/RC:C

CVSS v3.0

基本分數: 8.2

時間分數: 7.4

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N

時間媒介: E:P/RL:O/RC:C

弱點資訊

CPE: cpe:/a:oracle:vm_virtualbox

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2019/1/15

弱點發布日期: 2018/10/30

參考資訊

CVE: CVE-2018-0734, CVE-2018-0735, CVE-2018-3309, CVE-2018-5407, CVE-2019-2446, CVE-2019-2448, CVE-2019-2500, CVE-2019-2501, CVE-2019-2504, CVE-2019-2505, CVE-2019-2506, CVE-2019-2508, CVE-2019-2509, CVE-2019-2511, CVE-2019-2520, CVE-2019-2521, CVE-2019-2522, CVE-2019-2523, CVE-2019-2524, CVE-2019-2525, CVE-2019-2526, CVE-2019-2527, CVE-2019-2548, CVE-2019-2550, CVE-2019-2551, CVE-2019-2552, CVE-2019-2553, CVE-2019-2554, CVE-2019-2555, CVE-2019-2556

BID: 105750, 105758, 105897, 106568, 106572, 106574, 106613