偵測

openSUSE 安全性更新:virtualbox (openSUSE-2016-1087)

medium Nessus Plugin ID 93596

語言:

概要

遠端 openSUSE 主機缺少安全性更新。

說明

Virtualbox 已更新至 5.0.26 版,可修正下列問題:

此更新可修正多種安全性問題。

- CVE-2016-3612:在 Oracle Virtualization VirtualBox 5.0.22 版之前,Oracle VM VirtualBox 元件中的一個不明弱點允許遠端攻擊者透過與核心有關的向量影響機密性。
 (boo#990369)。

- CVE-2016-3597:在 Oracle Virtualization VirtualBox 5.0.26 版之前,Oracle VM VirtualBox 元件中的不明弱點允許本機使用者透過與核心有關的向量影響可用性。(bsc#990370)

- 將主機 <-> 來賓 KMP 衝突相依性更新為不再參照舊名稱 (boo#983927)。

這是維護版本。下列項目已修正和/或新增:

- VMM:已修正工作切換程式碼中的一個錯誤 (票證 #15571)

- GUI:允許在儲存記錄檔時覆寫現有檔案 (錯誤 #8034)

- GUI:已修正在分離模式下啟動 VM 時的螢幕擷取畫面

- 音訊:已改善從 USB 耳機及可能需要轉換所擷取資料之其他來源錄製的效果

- 音訊:已修正在 Solaris 主機上沒有任何音訊出現的迴歸問題

- VGA:已修正在啟用 3D 的情況下執行 Windows 來賓時偶爾出現的懸置情形

- 儲存空間:已修正連接目標成功但其他 I/O 要求造成中斷連接的 iSCSI 後端的可能無限重新連接迴圈問題

- 儲存空間:已修正調整特定 VDI 影像大小而導致在主機上使用整個磁碟的錯誤 (錯誤 #15582)

- EFI:已修正連接至 SATA 連接埠 2 與更高連接埠的裝置存取問題 (錯誤 #15607)

- API:已修正 VBoxHeadless 的視訊錄製問題 (錯誤 #15443)

- API:若未設定圖形控制器則不會損毀 (錯誤 #15628)

- VBoxSVC:已修正處理 .dmg 影像時的數個記憶體洩漏

5.0.24 的版本升級 (2016 年 6 月 28 日由 Oracle 發佈) 這是維護版本。下列項目已修正和/或新增:

- VMM:現在已還原為舊的 I/O-APIC 程式碼以修正 5.0.22 的特定迴歸情形 (錯誤 #15529)。這表示特定來賓的網路效能將會下降至 5.0.20 等級 (錯誤 #15295)。有一個因應措施是針對 Linux 來賓停用 GRO。

- 主系統:當抓取螢幕擷取畫面時,不會針對空白的畫面儲存無用內容

- NAT:正確剖析含有多個分隔符號的 resolv.conf 檔案 (5.0.22 迴歸)

- 儲存空間:已修正當第一次在讀取/寫入模式下開啟時,VMware 中資料流最佳化 VMDK 影像的可能損毀情形。

- 音訊:已實作 Mac OS X 主機上輸入/輸出裝置的動態重新連接

- ACPI:當電池 / AC 狀態變更時通知來賓,而非依賴來賓輪詢

- Linux 主機:已修正 Linux 4.6 或更新版本主機上的 VERR_VMM_SET_JMP_ABORTED_RESUME Guru Meditation (錯誤 #15439)

5.0.22 的版本升級 (2016 年 6 月 16 日由 Oracle 發佈) 這是維護版本。下列項目已修正和/或新增:

- VMM:特定 Intel Atom 主機的修正 (錯誤 #14915)

- VMM:在 Intel Sandy Bridge 與 Ivy Bridge CPU 的 64 位元主機上正確還原及完成 32 位元來賓的 FPU 狀態

- VMM:修正數個錯誤並改善特定情況下之效能的新 I/O-APIC 實作 (錯誤 #15295 與其他錯誤)

- VMM:已修正 AMD 主機上的潛在 Linux 來賓錯誤

- VMM:已修正 Intel CPU 上 32 位元 EFI 來賓的潛在懸置情形 (沒有無限來賓執行權限的 VT-x)

- GUI:不允許啟動後續單獨 VM 執行個體

- GUI:已提升視訊擷取畫面解析度的上限 (錯誤 #15432)

- GUI:如果 VM 的已設定 VRAM 少於 128MB 且已啟用 3D,則提出警告

- 主系統:當在 Windows 主機上監控 DNS 組態變更時,防止誤判完成 DHCP 續約。這應會於主機有多個 DHCP 設定的介面時修正 NAT link flap,特別是當主機使用 OpnVPN 時。

- 主系統:如果無法在運行時間啟用 VRDE 伺服器,例如因其他服務正在使用相同連接埠,則正確顯示錯誤訊息

- NAT:使用預設來賓位址針對萬用字元連接埠轉送規則初始化來賓位址猜測 (錯誤 #15412)

- VGA:修正使特定舊版來賓在特定情形下損毀的問題 (錯誤 #14811)

- OVF:已修正某些使用第三方應用程式建立之 AHCI 控制器的應用裝置匯入問題

- SDK:已減少 webservice Java 繫結中的記憶體用量

- Windows Additions:修正當調整來賓監視器大小或停用來賓監視器時保持來賓顯示配置的問題

- Linux 主機:EL 6.8 修正 (錯誤 #15411)

- Linux 主機:Linux 4.7 修正 (錯誤 #15459)

- Linux Additions:Linux 4.7 修正 (錯誤 #15444)

- Linux Additions:修正特定 32 位元來賓 (5.0.18 迴歸;錯誤 #15320)

- Linux Additions:已修正滑鼠指標位移 (5.0.18 迴歸;錯誤 #15324)

- Linux Additions:使舊 X.Org 版本在核心 3.11 與更新版本中能夠再次正常運作 (5.0.18 迴歸;錯誤 #15319)

- Linux Additions:已修正硬來賓重設之後的 X.Org 損毀問題 (5.0.18 迴歸;錯誤 #15354)

- Linux Additions:如果載入共用資料夾模組失敗則不停止 X11 設定 (5.0.18 迴歸)

- Linux Additions:如果主機上無法使用拖放服務則不提出投訴

- Solaris Additions:已新增 X.org 1.18 的支援

解決方案

更新受影響的 virtualbox 套件。

另請參閱

https://bugzilla.opensuse.org/show_bug.cgi?id=983927

https://bugzilla.opensuse.org/show_bug.cgi?id=990369

https://bugzilla.opensuse.org/show_bug.cgi?id=990370

Plugin 詳細資訊

嚴重性: Medium

ID: 93596

檔案名稱: openSUSE-2016-1087.nasl

版本: 2.5

類型: local

代理程式: unix

已發布: 2016/9/20

已更新: 2026/1/23

支援的感應器: Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Low

分數: 3.6

CVSS v2

風險因素: Medium

基本分數: 4.3

時間性分數: 3.2

媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N

CVSS 評分資料來源: CVE-2016-3612

CVSS v3

風險因素: Medium

基本分數: 5.9

時間性分數: 5.2

媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:novell:opensuse:virtualbox-guest-kmp-default, p-cpe:/a:novell:opensuse:virtualbox-host-kmp-default-debuginfo, p-cpe:/a:novell:opensuse:virtualbox-qt-debuginfo, p-cpe:/a:novell:opensuse:virtualbox-debugsource, p-cpe:/a:novell:opensuse:virtualbox-guest-tools-debuginfo, p-cpe:/a:novell:opensuse:virtualbox-host-kmp-pae, p-cpe:/a:novell:opensuse:virtualbox-devel, p-cpe:/a:novell:opensuse:virtualbox-guest-kmp-pae-debuginfo, p-cpe:/a:novell:opensuse:virtualbox-guest-kmp-desktop, p-cpe:/a:novell:opensuse:virtualbox, p-cpe:/a:novell:opensuse:virtualbox-host-source, p-cpe:/a:novell:opensuse:virtualbox-guest-tools, p-cpe:/a:novell:opensuse:virtualbox-guest-x11, p-cpe:/a:novell:opensuse:virtualbox-host-kmp-pae-debuginfo, cpe:/o:novell:opensuse:13.2, p-cpe:/a:novell:opensuse:virtualbox-guest-desktop-icons, p-cpe:/a:novell:opensuse:virtualbox-guest-kmp-pae, p-cpe:/a:novell:opensuse:virtualbox-qt, p-cpe:/a:novell:opensuse:virtualbox-websrv, p-cpe:/a:novell:opensuse:python-virtualbox, p-cpe:/a:novell:opensuse:virtualbox-debuginfo, p-cpe:/a:novell:opensuse:virtualbox-host-kmp-desktop-debuginfo, p-cpe:/a:novell:opensuse:virtualbox-guest-kmp-default-debuginfo, p-cpe:/a:novell:opensuse:python-virtualbox-debuginfo, p-cpe:/a:novell:opensuse:virtualbox-guest-kmp-desktop-debuginfo, p-cpe:/a:novell:opensuse:virtualbox-host-kmp-desktop, p-cpe:/a:novell:opensuse:virtualbox-host-kmp-default, p-cpe:/a:novell:opensuse:virtualbox-guest-x11-debuginfo, p-cpe:/a:novell:opensuse:virtualbox-websrv-debuginfo

必要的 KB 項目: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2016/9/15

參考資訊

CVE: CVE-2016-3597, CVE-2016-3612