偵測

openSUSE 安全性更新:virtualbox (openSUSE-2016-672)

medium Nessus Plugin ID 91483

語系:

概要

遠端 openSUSE 主機缺少安全性更新。

說明

Virtualbox 已更新至 5.0.20 版,可修正下列問題:

5.0.20 的版本升級 (2016 年 4 月 28 日由 Oracle 發佈) 這是維護版本。下列項目已修正和/或新增:

- NAT 網路:檔案 VBoxNetNAT 不再需要 suid

- 儲存空間:修正一個會造成 BIOS 提出寫入要求的迴歸,而使 LsiLogic SCSI 控制器發生 Guru Meditation (5.0.18 迴歸;錯誤 #15317)

- 儲存空間:BusLogic SCSI 控制器模擬中的數個模擬修正

- NAT 網路:支援 DNS 代理伺服器中的 TCP (NAT 的錯誤 #14736 也有相同問題)

- NAT:重新執行連接埠轉送規則的處理 (錯誤 #13570)

- NAT:重寫主機解析器,以處理更多查詢類型並使其非同步,如此停止的查閱才不會封鎖所有 NAT 流量

- 快照:將網路介面卡多於目前狀態 (即快照使用 ICH9 而目前狀態使用 PIIX3 時) 的快照進行還原時,不會造成損毀

- 來賓控制:copyfrom 和 copyto 命令/API 的多種錯誤修正 (錯誤 #14336)

- VBoxManage:在 hostinfo 清單上列出處理器功能 (錯誤 #15334)

- Linux 主機:CONFIG_NET_CLS_ACT 已啟用時 Linux 4.5 的修正 (錯誤 #15327)

- Windows Additions:修正 Aero 停用時的 PowerPoint 2010 效能問題及 WDDM 圖形驅動程式

錯誤修正:

- 套用適當的 boo#964765 修正,該問題原本會造成使用 NAT 網路附件的來賓 VM 無法取得網路存取權。基本問題是 /usr/lib/virtualbox/VBoxNetNAT 檔案必須具備 suid 權限,而規格檔無法設定適當的權限。

- 在 openSUSE 13.2 中實作 VirtualBox 5.0.18 版。
 在此之前,oS 13.2 一直使用 4.3.X 版,其為 13.2 發佈時的 VB 系列。此原則已變更,13.2 版現已納入 CVE-2016-0678 的修正。錯誤報告 b.o.o #97366 有此弱點的討論。此提交也修正了 VB 5.0.18 中的錯誤,該錯誤原本會防止正確操作設為針對磁碟使用 LsiLogic 介面卡的來賓 VM。
 如需問題描述,請參閱票證:https://www.virtualbox.org/ticket/15317;如需「changeset_60565.diff」檔案中實作的修正相關資訊,
請參閱:https://www.virtualbox.org/changeset/60565/vbox。

5.0.18 的版本升級 (2016 年 4 月 18 日由 Oracle 發佈) 這是維護版本。下列項目已修正和/或新增:

- GUI:將超出螢幕的視窗放置於重新啟動時可再次完整顯示的位置,與預設行為一致 (錯誤 #15226)

- GUI:修正 Mac OS X El Capitan 上的 [檢視] 功能表/全螢幕模式行為

- GUI:修正允許以空白密碼加密硬碟的測試

- GUI:修正 VM 關機期間特定情況下的損毀

- GUI:修正進入群組時 VM 選取器中的 VM 清單捲動軸大小

- PC 喇叭通道:修正 (僅限 Linux 主機;錯誤 #627)

- 拖放:數個修正

- SATA:修正使用 EFI 時的熱插拔旗標處理

- 儲存空間:修正使用 SCSI 控制器對加密磁碟影像的處理 (錯誤 #14812)

- 儲存空間:修正使用 BusLogic SCSI 控制器時 Solaris 7 可能發生的損毀情形

- USB:正確從 USB 字串清除非 ASCII 字元 (錯誤 #8801、#15222)

- NAT 網路:修正特定情況下 Mac OS X 中的 VBoxNetNAT 100% CPU 負載問題 (錯誤 #15223)

- ACPI:修正 ACPI 表格,使其能夠再次顯示色彩管理設定,以用於舊版 Windows 版本 (4.3.22 迴歸)

- 來賓控制:修正 VBoxManage copyfrom 命令 (錯誤 #14336)

- 快照:修正移除較舊快照時的數個問題 (錯誤 #15206)

- VBoxManage:修正 guestcontrol 命令的 --verbose 輸出

- Windows 主機:強化最近 Windows 10 內部版本所需要的修正 (錯誤 #15245、#15296)

- Windows 主機:修正橋接網路的 jumbo 框架支援 (5.0.16 迴歸;錯誤 #15209)

- Windows 主機:如果安裝僅限主機的介面卡,則不禁止接收多點傳送流量 (錯誤 #8698)

- Linux 主機:新增建立原始磁碟時對於 NVME 磁碟新命名配置的支援

- Solaris 主機/來賓:正確簽署核心模組 (錯誤 #12608)

- Linux 主機/來賓:Linux 4.5 修正 (錯誤 #15251)

- Linux 主機/來賓:Linux 4.6 修正 (錯誤 #15298)

- Linux Additions:新增核心圖形驅動程式以於 X.Org 沒有 root 權限時支援圖形 (錯誤 #14732)

- Linux/Solaris Additions:修正造成 Linux/Solatis 來賓在可使用 3D 加速時透過軟體轉譯的數個問題

- Windows Additions:修正停用 Aero 時 PowerPoint 2010 與 WDDM 驅動程式的懸置問題

解決方案

更新受影響的 virtualbox 套件。

另請參閱

https://bugzilla.opensuse.org/show_bug.cgi?id=908383

https://bugzilla.opensuse.org/show_bug.cgi?id=939299

https://bugzilla.opensuse.org/show_bug.cgi?id=953018

https://bugzilla.opensuse.org/show_bug.cgi?id=964765

https://www.virtualbox.org/changeset/60565/vbox

https://www.virtualbox.org/ticket/15317

Plugin 詳細資訊

嚴重性: Medium

ID: 91483

檔案名稱: openSUSE-2016-672.nasl

版本: 2.4

類型: local

代理程式: unix

已發布: 2016/6/6

已更新: 2021/1/19

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: Medium

基本分數: 4.1

媒介: CVSS2#AV:L/AC:M/Au:S/C:P/I:P/A:P

CVSS v3

風險因素: Medium

基本分數: 6.7

媒介: CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H

弱點資訊

CPE: p-cpe:/a:novell:opensuse:python-virtualbox, p-cpe:/a:novell:opensuse:python-virtualbox-debuginfo, p-cpe:/a:novell:opensuse:virtualbox, p-cpe:/a:novell:opensuse:virtualbox-debuginfo, p-cpe:/a:novell:opensuse:virtualbox-debugsource, p-cpe:/a:novell:opensuse:virtualbox-devel, p-cpe:/a:novell:opensuse:virtualbox-guest-desktop-icons, p-cpe:/a:novell:opensuse:virtualbox-guest-kmp-default, p-cpe:/a:novell:opensuse:virtualbox-guest-kmp-default-debuginfo, p-cpe:/a:novell:opensuse:virtualbox-guest-kmp-desktop, p-cpe:/a:novell:opensuse:virtualbox-guest-kmp-desktop-debuginfo, p-cpe:/a:novell:opensuse:virtualbox-guest-kmp-pae, p-cpe:/a:novell:opensuse:virtualbox-guest-kmp-pae-debuginfo, p-cpe:/a:novell:opensuse:virtualbox-guest-x11, p-cpe:/a:novell:opensuse:virtualbox-guest-x11-debuginfo, p-cpe:/a:novell:opensuse:virtualbox-host-kmp-default, p-cpe:/a:novell:opensuse:virtualbox-host-kmp-default-debuginfo, p-cpe:/a:novell:opensuse:virtualbox-host-kmp-desktop, p-cpe:/a:novell:opensuse:virtualbox-host-kmp-desktop-debuginfo, p-cpe:/a:novell:opensuse:virtualbox-host-kmp-pae, p-cpe:/a:novell:opensuse:virtualbox-host-kmp-pae-debuginfo, p-cpe:/a:novell:opensuse:virtualbox-host-source, p-cpe:/a:novell:opensuse:virtualbox-qt, p-cpe:/a:novell:opensuse:virtualbox-qt-debuginfo, p-cpe:/a:novell:opensuse:virtualbox-websrv, p-cpe:/a:novell:opensuse:virtualbox-websrv-debuginfo, cpe:/o:novell:opensuse:13.2, p-cpe:/a:novell:opensuse:virtualbox-guest-tools, p-cpe:/a:novell:opensuse:virtualbox-guest-tools-debuginfo

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

修補程式發佈日期: 2016/6/1

參考資訊

CVE: CVE-2016-0678