Oracle VM VirtualBox 5.2.x < 5.2.24 / 6.0.x < 6.0.2 (Jan 2019 CPU)

high Nessus Plugin ID 121247

Synopsis

遠端主機上安裝的應用程式受到多個弱點影響。

描述

遠端主機上執行的 Oracle VM VirtualBox 為比 5.2.24 舊的 5.2.x 版或比 6.0.2 舊的 6.0.x 版。因此,會受到 2018 年 1 月重大修補程式更新公告所述多個弱點影響:- 在隨附的協力廠商元件 OpenSSL 程式庫的 DSA 簽章演算法中含有一個拒絕服務弱點,使其容易受到計時旁路攻擊。攻擊者可利用此弱點復原私密金鑰。(CVE-2018-0734) - Oracle VirtualBox 的 Core 元件中存在多個不明的弱點,可讓能夠登入 Oracle VM VirtualBox 執行所在的基礎架構的經驗證本機攻擊者入侵 Oracle VM VirtualBox。(CVE-2018-3309、CVE-2019-2500、CVE-2019-2520、CVE-2019-2521、CVE-2019-2522、CVE-2019-2523、CVE-2019-2524、CVE-2019-2526、CVE-2019-2548、CVE-2019-2552) - Oracle VirtualBox 的 Core 元件中存在多個不明的弱點,可能會讓能夠登入 Oracle VM VirtualBox 執行所在的基礎架構的經驗證本機攻擊者暴露重要或機密的資料。(CVE-2019-2446、CVE-2019-2448、CVE-2019-2450、CVE-2019-2451、CVE-2019-2501、CVE-2019-2504、CVE-2019-2505、CVE-2019-2506、CVE-2019-2525、CVE-2019-2553、CVE-2019-2554、CVE-2019-2555、CVE-2019-2556) - Oracle VirtualBox 的 Core 元件中存在多個拒絕服務弱點,可能會讓能夠登入 Oracle VM VirtualBox 執行所在的基礎架構的經驗證本機攻擊者造成拒絕服務情形。(CVE-2019-2508、CVE-2019-2509、CVE-2019-2527) - Oracle VirtualBox 的 Core 元件中,存在一個 SOAP 通訊協定的拒絕服務弱點,可能會讓未經驗證的遠端攻擊者造成拒絕服務情形。(CVE-2019-2511) 請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼。

解決方案

升級版本至 2019 年 1 月 Oracle 重大修補程式更新公告中所述的 Oracle VM VirtualBox 5.2.24、6.0.2 或更新版本。

另請參閱

http://www.nessus.org/u?0dcafb3e

https://www.virtualbox.org/wiki/Changelog

Plugin 詳細資訊

嚴重性: High

ID: 121247

檔案名稱: virtualbox_jan_2019_cpu.nasl

版本: 1.7

類型: local

代理程式: windows, macosx, unix

系列: Misc.

已發布: 2019/1/18

已更新: 2022/5/24

支持的傳感器: Nessus Agent

風險資訊

VPR

風險因素: Medium

分數: 6.5

CVSS v2

風險因素: Medium

基本分數: 5.8

時間分數: 4.5

媒介: AV:N/AC:M/Au:N/C:P/I:P/A:N

時間媒介: E:POC/RL:OF/RC:C

CVSS 評分資料來源: CVE-2019-2551

CVSS v3

風險因素: High

基本分數: 8.8

時間分數: 7.9

媒介: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

時間媒介: E:P/RL:O/RC:C

CVSS 評分資料來源: CVE-2019-2552

弱點資訊

CPE: cpe:/a:oracle:vm_virtualbox

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2019/1/15

弱點發布日期: 2018/10/30

參考資訊

CVE: CVE-2018-0734, CVE-2018-0735, CVE-2018-3309, CVE-2018-5407, CVE-2019-2446, CVE-2019-2448, CVE-2019-2500, CVE-2019-2501, CVE-2019-2504, CVE-2019-2505, CVE-2019-2506, CVE-2019-2508, CVE-2019-2509, CVE-2019-2511, CVE-2019-2520, CVE-2019-2521, CVE-2019-2522, CVE-2019-2523, CVE-2019-2524, CVE-2019-2525, CVE-2019-2526, CVE-2019-2527, CVE-2019-2548, CVE-2019-2550, CVE-2019-2551, CVE-2019-2552, CVE-2019-2553, CVE-2019-2554, CVE-2019-2555, CVE-2019-2556

BID: 105750, 105758, 105897, 106568, 106572, 106574, 106613