検出

Oracle VM VirtualBox 5.2.x < 5.2.34/6.0.x < 6.0.14(2019年10月CPU)

high Nessus プラグイン ID 130056

Language:

概要

リモートホストにインストールされているアプリケーションは、複数の脆弱性の影響を受けます。

説明

リモートホストで実行されているOracle VM VirtualBoxのバージョンは5.2.34より前の5.2.xまたは6.0.14より前の6.0.xです。It is, therefore, affected by multiple vulnerabilities as noted in the October 2019 Critical Patch Update advisory:

- A vulnerability exists in the Oracle VM VirtualBox product of Oracle Virtualization (component: Core) prior to 5.2.34 and prior to 6.0.14. 認証された権限の低いローカルの攻撃者が、Oracle VM VirtualBoxが実行されているインフラストラクチャにログオンして脆弱性を悪用し、他の製品に影響を及ぼしたり、Oracle VM VirtualBoxを乗っ取ったりする可能性があります。
 (CVE-2019-3028)

- A vulnerability exists in the Oracle VM VirtualBox product of Oracle Virtualization (component: Core) prior to 5.2.34 and prior to 6.0.14. An authenticated high privileged local attacker with logon to the infrastructure where Oracle VM VirtualBox can exploit the vulnerability to impact additional products, cause a hang or frequently repeatable crash (complete DOS) of Oracle VM VirtualBox as well as unauthorized update, insert or delete access to some of Oracle VM VirtualBox accessible data and unauthorized read access to a subset of Oracle VM VirtualBox accessible data. (CVE-2019-2944)

- A denial of service (DoS) vulnerability exists in the Oracle VM VirtualBox product of Oracle Virtualization (component: Core) prior to 5.2.34 and prior to 6.0.14. An authenticated low privileged local attacker with logon to the infrastructure where Oracle VM VirtualBox can exploit the vulnerability to impact additional products or cause a hang or frequently repeatable crash (complete DOS) of Oracle VM VirtualBox. (CVE-2019-3021)


追加情報については、該当するCVEのCVRFの詳細を参照してください。

Nessusはこれらの問題のテストを行っておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

2019年10月のOracle Critical Patch Updateアドバイザリに記載されているとおり、Oracle VM VirtualBoxバージョン5.2.34/6.0.14以降にアップグレードしてください。

参考資料

http://www.nessus.org/u?7b12e660

https://www.virtualbox.org/wiki/Changelog

プラグインの詳細

深刻度: High

ID: 130056

ファイル名: virtualbox_6_0_14.nasl

バージョン: 1.7

タイプ: local

エージェント: windows, macosx, unix

ファミリー: Windows

公開日: 2019/10/18

更新日: 2022/10/21

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.5

CVSS v2

リスクファクター: Medium

基本値: 4.6

現状値: 3.8

ベクトル: CVSS2#AV:L/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2019-3028

CVSS v3

リスクファクター: High

基本値: 8.8

現状値: 7.7

ベクトル: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:oracle:vm_virtualbox

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2019/10/10

脆弱性公開日: 2019/10/10

参照情報

CVE: CVE-2019-1547, CVE-2019-2926, CVE-2019-2944, CVE-2019-2984, CVE-2019-3002, CVE-2019-3005, CVE-2019-3017, CVE-2019-3021, CVE-2019-3026, CVE-2019-3028, CVE-2019-3031

BID: 31765

IAVA: 2019-A-0387-S, 2020-A-0022-S