偵測

Debian DLA-313-1:virtualbox-ose 安全性更新

medium Nessus Plugin ID 86195

語系:

概要

遠端 Debian 主機缺少一個安全性更新。

說明

VirtualBox (OSE) 3.2.x 系列 (即 3.2.28 版) 的最新維護版本已上傳至 Debian LTS (squeeze)。
感謝 Gianfranco Costamagna 準備套件,以供 Debian LTS 團隊審查及上傳。

遺憾的是,Oracle 已不再提供 VirtualBox 的特定安全性弱點資訊,因此我們直接在 Debian LTS (squeeze) 中提供最新的 3.2.28 維護版本。

CVE-2013-3792

Oracle 報告,在 Oracle Virtualization VirtualBox 3.2.18 版之前的版本、4.0.20 版、4.1.28 版和 4.2.18 版中,Oracle VM VirtualBox 元件中存有一個不明弱點,會讓本機使用者得以透過與核心有關的向量影響可用性。

CVE-2013-3792 的修正在 IntNet、VirtioNet 和 NetFilter 中新增大型框架支援並放置超大型框架,藉此避免 virtio-net 主機 DoS 弱點。

CVE-2014-2486

在 Oracle Virtualization VirtualBox 3.2.24 版之前的版本、4.0.26 版、4.1.34 版、4.2.26 版和 4.3.12 版中,Oracle VM VirtualBox 元件中存有不明弱點,會讓本機使用者得以透過與核心有關的向量影響完整性和可用性。

目前尚未取得進一步的詳細資訊,攻擊範圍定義為本機、低嚴重性。

CVE-2014-2488

在 Oracle Virtualization VirtualBox 3.2.24 版之前的版本、4.0.26 版、4.1.34 版、4.2.26 版和 4.3.12 版中,Oracle VM VirtualBox 元件中存有不明弱點,會讓本機使用者得以透過與核心有關的向量影響機密性。

目前尚無法取得進一步的詳細資訊,攻擊範圍定義為本機、低嚴重性。

CVE-2014-2489

在 Oracle Virtualization VirtualBox 3.2.24 版之前的版本、4.0.26 版、4.1.34 版、4.2.26 版和 4.3.12 版中,Oracle VM VirtualBox 元件中存有不明弱點,會讓本機使用者得以透過與核心有關的向量影響機密性、完整性和可用性。

目前尚無法取得進一步的詳細資訊,攻擊範圍定義為本機、中等嚴重性。

CVE-2015-2594

在 Oracle Virtualization VirtualBox 4.0.32 版之前的版本、4.1.40 版、4.2.32 版和 4.3.30 版中,Oracle VM VirtualBox 元件中存有不明弱點,會讓本機使用者得以透過與核心有關的向量影響機密性、完整性和可用性。

此更新可修正一個與來賓透過 WiFi 使用橋接網路有關的問題。

注意:Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下,嘗試自動清理並將其格式化。

解決方案

升級受影響的套件。

另請參閱

https://lists.debian.org/debian-lts-announce/2015/09/msg00013.html

https://packages.debian.org/source/squeeze-lts/virtualbox-ose

Plugin 詳細資訊

嚴重性: Medium

ID: 86195

檔案名稱: debian_DLA-313.nasl

版本: 2.5

類型: local

代理程式: unix

已發布: 2015/9/30

已更新: 2021/1/11

支援的感應器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: Medium

基本分數: 6.6

時間分數: 5.2

媒介: CVSS2#AV:L/AC:M/Au:S/C:C/I:C/A:C

弱點資訊

CPE: p-cpe:/a:debian:debian_linux:virtualbox-ose, p-cpe:/a:debian:debian_linux:virtualbox-ose-dbg, p-cpe:/a:debian:debian_linux:virtualbox-ose-dkms, p-cpe:/a:debian:debian_linux:virtualbox-ose-fuse, p-cpe:/a:debian:debian_linux:virtualbox-ose-guest-dkms, p-cpe:/a:debian:debian_linux:virtualbox-ose-guest-source, p-cpe:/a:debian:debian_linux:virtualbox-ose-guest-utils, p-cpe:/a:debian:debian_linux:virtualbox-ose-guest-x11, p-cpe:/a:debian:debian_linux:virtualbox-ose-qt, p-cpe:/a:debian:debian_linux:virtualbox-ose-source, cpe:/o:debian:debian_linux:6.0

必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2015/9/29

參考資訊

CVE: CVE-2013-3792, CVE-2014-2486, CVE-2014-2488, CVE-2014-2489, CVE-2015-2594

BID: 60794, 68610, 68618, 68621, 75899