検出

Oracle VM VirtualBox 5.2.x < 5.2.36/6.0.x < 6.0.16/6.1.x < 6.1.2(2020年1月のCPU)

high Nessus プラグイン ID 132962

Language:

概要

リモートホストにインストールされているアプリケーションは、複数の脆弱性の影響を受けます。

説明

リモートホストで実行されているOracle VM VirtualBoxのバージョンは5.2.36より前の5.2.x、6.0.16より前の6.0.x、6.1.2より前の6.1.xです。したがって、2019年1月のCritical Patch Updateアドバイザリに記載されているとおり、複数の脆弱性の影響を受けます。

 - Oracle Virtualization Coreコンポーネントに詳細不明の脆弱性があります。認証されたローカルの攻撃者がこの問題を悪用して、Oracle VM VirtualBoxを侵害して乗っ取る可能性があります。(CVE-2020-2674)

 - Oracle Virtualization Coreコンポーネントに詳細不明の脆弱性があります。認証されたローカルの攻撃者がこの問題を悪用し、重要なデータまたはすべてのOracle VM VirtualBoxがアクセス可能なデータを無権限で作成、削除、または変更し、Oracle VM VirtualBoxのサブセットがアクセス可能なデータを無権限で読み取る可能性があります。(CVE-2020-2678)

 - Oracle Virtualization Coreコンポーネントにサービス拒否(DoS)の脆弱性があります。認証されたローカルの攻撃者がこの問題を悪用し、Oracle VM VirtualBoxをハングさせたり、クラッシュを頻繁に繰り返させたりする(完全なDoS)可能性があります。(CVE-2020-2703)

ソリューション

2020年1月のOracle Critical Patch Updateアドバイザリに記載されているとおり、Oracle VM VirtualBoxバージョン5.2.36、6.0.16、6.1.2以降にアップグレードしてください。

参考資料

http://www.nessus.org/u?bc4414d8

http://www.nessus.org/u?2cb6a420

プラグインの詳細

深刻度: High

ID: 132962

ファイル名: virtualbox_jan_2020_cpu.nasl

バージョン: 1.6

タイプ: local

エージェント: windows, macosx, unix

ファミリー: Misc.

公開日: 2020/1/16

更新日: 2020/8/27

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.5

CVSS v2

リスクファクター: Medium

基本値: 4.6

現状値: 3.4

ベクトル: CVSS2#AV:L/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2020-2682

CVSS v3

リスクファクター: High

基本値: 8.2

現状値: 7.1

ベクトル: CVSS:3.0/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:oracle:vm_virtualbox

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2020/1/14

脆弱性公開日: 2020/1/14

参照情報

CVE: CVE-2020-2674, CVE-2020-2678, CVE-2020-2681, CVE-2020-2682, CVE-2020-2689, CVE-2020-2690, CVE-2020-2691, CVE-2020-2692, CVE-2020-2693, CVE-2020-2698, CVE-2020-2701, CVE-2020-2702, CVE-2020-2703, CVE-2020-2704, CVE-2020-2705, CVE-2020-2725, CVE-2020-2726, CVE-2020-2727

IAVA: 2020-A-0022