GLSA-202310-07: Oracle VirtualBox：多個弱點

high Nessus Plugin ID 182756

語系：

說明

遠端主機受到 GLSA-202310-07 中所述的弱點影響 (Oracle VirtualBox：多個弱點)

- Oracle Virtualization 的 Oracle VM VirtualBox 產品中存在弱點 (元件：Core)。受影響的支援版本是 6.1.42 之前版本和 7.0.6 之前版本。此弱點較易攻擊成功，高權限攻擊者可藉此登入 Oracle VM VirtualBox 執行所在的基礎結構，進而入侵 Oracle VM VirtualBox。若攻擊成功，攻擊者未經授權即可造成 Oracle VM VirtualBox 懸置或經常重複性當機 (完全 DOS)。
(CVE-2023-21884)

- Oracle Virtualization 的 Oracle VM VirtualBox 產品中存在弱點 (元件：Core)。受影響的支援版本是 6.1.42 之前版本和 7.0.6 之前版本。此弱點較易攻擊成功，低權限攻擊者可藉此登入 Oracle VM VirtualBox 執行所在的基礎結構，進而入侵 Oracle VM VirtualBox。雖然弱點存在於 Oracle VM VirtualBox 中，但攻擊可能對其他產品造成重大影響 (範圍變更)。若成功攻擊此弱點，攻擊者未經授權即可讀取部分 Oracle VM VirtualBox 可存取資料。注意：僅適用於 Windows。
(CVE-2023-21885)

- Oracle Virtualization 的 Oracle VM VirtualBox 產品中存在弱點 (元件：Core)。受影響的支援版本是 6.1.42 之前版本和 7.0.6 之前版本。攻擊此弱點的難度較大，經由多個通訊協定存取網路的未經驗證的攻擊者可藉此入侵 Oracle VM VirtualBox。若成功攻擊此弱點，則可接管 Oracle VM VirtualBox。
(CVE-2023-21886)

- Oracle Virtualization 的 Oracle VM VirtualBox 產品中存在弱點 (元件：Core)。受影響的支援版本是 6.1.42 之前版本和 7.0.6 之前版本。此弱點較易攻擊成功，低權限攻擊者可藉此登入 Oracle VM VirtualBox 執行所在的基礎結構，進而入侵 Oracle VM VirtualBox。雖然弱點存在於 Oracle VM VirtualBox 中，但攻擊可能對其他產品造成重大影響 (範圍變更)。若成功攻擊此弱點，可導致未經授權讀取部分 Oracle VM VirtualBox 可存取資料。(CVE-2023-21889)

- Oracle Virtualization 的 Oracle VM VirtualBox 產品中存在弱點 (元件：Core)。受影響的支援版本是 6.1.42 之前版本和 7.0.6 之前版本。此弱點較易攻擊成功，低權限攻擊者可藉此登入 Oracle VM VirtualBox 執行所在的基礎結構，進而入侵 Oracle VM VirtualBox。若攻擊成功，攻擊者未經授權即可造成 Oracle VM VirtualBox 懸置或經常重複性當機 (完全 DOS)。注意：適用於執行 Windows 7 和更新版本的 VirtualBox VM。(CVE-2023-21898、CVE-2023-21899)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

所有 Oracle VirtualBox 使用者皆應升級至最新版本：

# emerge --sync # emerge --ask --oneshot --verbose >=app-emulation/virtualbox-7.0.6 如果您仍需使用 VirtualBox 6：

# emerge --sync # emerge --ask --oneshot --verbose >=app-emulation/virtualbox-6.1.46 =app-emulation/virtualbox-6*