検出

Oracle VM VirtualBox の複数の脆弱性 (2023 年 10 月 CPU)

high Nessus プラグイン ID 183313

Language:

概要

リモートホストは、複数の脆弱性の影響を受けます

説明

リモートホストにインストールされている VirtualBox のバージョンは、2023 年 10 月 CPU アドバイザリに記載されている複数の脆弱性の影響を受けます。

 - Oracle Virtualization の Oracle VM VirtualBox 製品の脆弱性 (コンポーネント: Core)。サポートされているバージョンで影響を受けるのは、7.0.12 より前です。簡単に悪用可能な脆弱性によって、権限の高い攻撃者が、Oracle VM VirtualBox が実行されているインフラストラクチャにログオンし、Oracle VM VirtualBox を侵害する可能性があります。脆弱性があるのは Oracle VM VirtualBox ですが、攻撃により別の製品にも重大な影響を与える可能性があります (範囲変更)。この脆弱性を利用した攻撃が成功すると、Oracle VM VirtualBox がアクセスできる一部データを権限なしで更新、挿入、削除できることに加えて、承認なしに Oracle VM VirtualBox がアクセスできるデータのサブセットに読み取りアクセスを実行したり、Oracle VM VirtualBox でハングを引き起こしたり、頻繁にクラッシュを繰り返す (完全な DOS) 可能性があります。(CVE-2023-22098、CVE-2023-22099)

 - Oracle Virtualization の Oracle VM VirtualBox 製品の脆弱性 (コンポーネント: Core)。サポートされているバージョンで影響を受けるのは、7.0.12 より前です。簡単に悪用可能な脆弱性によって、権限の高い攻撃者が、Oracle VM VirtualBox が実行されているインフラストラクチャにログオンし、Oracle VM VirtualBox を侵害する可能性があります。脆弱性があるのは Oracle VM VirtualBox ですが、攻撃により別の製品にも重大な影響を与える可能性があります (範囲変更)。この脆弱性に対する攻撃が成功すると、重要なデータへの認証されていないアクセスや Oracle VM VirtualBox のアクセス可能なすべてのデータへの完全なアクセス、Oracle VM VirtualBox のハングまたは頻繁に繰り返し発生するクラッシュ (完全な DOS ) を引き起こす可能性があります。(CVE-2023-22100) Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

2023 年 10 月の Oracle Critical Patch Update アドバイザリに従い、適切なパッチを適用してください。

参考資料

https://www.oracle.com/docs/tech/security-alerts/cpuoct2023cvrf.xml

https://support.oracle.com/rs?type=doc&id=2978250.1

プラグインの詳細

深刻度: High

ID: 183313

ファイル名: virtualbox_7_0_12_oct_2023_cpu.nasl

バージョン: 1.4

タイプ: local

エージェント: windows, macosx, unix

ファミリー: Misc.

公開日: 2023/10/18

更新日: 2024/4/19

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Critical

スコア: 9.2

CVSS v2

リスクファクター: Medium

基本値: 6.5

現状値: 4.8

ベクトル: CVSS2#AV:L/AC:L/Au:M/C:C/I:C/A:C

CVSS スコアのソース: CVE-2023-22099

CVSS v3

リスクファクター: High

基本値: 8.2

現状値: 7.1

ベクトル: CVSS:3.0/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:oracle:vm_virtualbox

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2023/10/17

脆弱性公開日: 2023/10/17

参照情報

CVE: CVE-2023-22098, CVE-2023-22099, CVE-2023-22100

IAVA: 2023-A-0564-S