検出

Debian DLA-313-1:virtualbox-ose セキュリティ更新

medium Nessus プラグイン ID 86195

Language:

概要

リモートの Debian ホストにセキュリティ更新がありません。

説明

VirtualBox(OSE)3.2.x シリーズの最新のメンテナンスリリース(バージョン 3.2.28)が、Debian LTS にアップロードされました(squeeze)。
Debian LTS Team によるレビューとアップロードのためにパッケージを用意した Gianfranco Costamagna 氏に感謝の意を表します。

残念ながら、Oracle は VirtualBox の特定のセキュリティの脆弱性に関する情報を提供しなくなりました。このため、弊社は最新の 3.2.28 メンテナンスリリースを Debian LTS(squeeze)で直接提供します。

CVE-2013-3792

Oracle は、3.2.18 より前、4.0.20、4.1.28、および 4.2.18 の Oracle Virtualization VirtualBox の Oracle VM VirtualBox コンポーネントにおける詳細不明の脆弱性により、ローカルユーザーが、Core に関連する未知のベクトルを通じて、可用性に影響を与える可能性があることを報告しました。

CVE-2013-3792 の修正では、IntNet、VirtioNet および NetFilter に大きなフレームのサポートを追加し、さらに過剰なサイズのフレームをドロップすることで、virtio-net ホストの DoS 脆弱性を回避しています。

CVE-2014-2486

3.2.24 より前、4.0.26、4.1.34、4.2.26、および 4.3.12 の Oracle Virtualization VirtualBox の Oracle VM VirtualBox コンポーネントにおける詳細不明の脆弱性により、ローカルユーザーが、Core に関連する未知のベクトルを通じて、整合性および可用性に影響を与える可能性があります。

これ以上の詳細は提供されておらず、攻撃範囲はローカル、重要度は低に指定されています。

CVE-2014-2488

3.2.24 より前、4.0.26、4.1.34、4.2.26、および 4.3.12 の Oracle Virtualization VirtualBox の Oracle VM VirtualBox コンポーネントにおける詳細不明の脆弱性により、ローカルユーザーが、Core に関連する未知のベクトルを通じて、機密性に影響を与える可能性があります。

これ以上の詳細は提供されておらず、攻撃範囲はローカル、重要度は低に指定されています。

CVE-2014-2489

3.2.24 より前、4.0.26、4.1.34、4.2.26、および 4.3.12 の Oracle Virtualization VirtualBox の Oracle VM VirtualBox コンポーネントにおける詳細不明の脆弱性により、ローカルユーザーが、Core に関連する未知のベクトルを通じて、機密性、整合性、および可用性に影響を与える可能性があります。

これ以上の詳細は提供されておらず、攻撃範囲はローカル、重要度は中に指定されています。

CVE-2015-2594

4.0.32 より前、4.1.40、4.2.32、および 4.3.30 の Oracle Virtualization VirtualBox の Oracle VM VirtualBox コンポーネントにおける詳細不明の脆弱性により、ローカルユーザーが、Core に関連する未知のベクトルを通じて、機密性、整合性、および可用性に影響を与える可能性があります。

この更新は、ブリッジネットワーキングを WiFi で使用するゲストに関連する問題を修正します。

注:Tenable Network Security は、前述の記述ブロックを DLA セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。

ソリューション

影響を受けるパッケージをアップグレードしてください。

参考資料

https://lists.debian.org/debian-lts-announce/2015/09/msg00013.html

https://packages.debian.org/source/squeeze-lts/virtualbox-ose

プラグインの詳細

深刻度: Medium

ID: 86195

ファイル名: debian_DLA-313.nasl

バージョン: 2.5

タイプ: local

エージェント: unix

公開日: 2015/9/30

更新日: 2021/1/11

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Medium

基本値: 6.6

現状値: 5.2

ベクトル: CVSS2#AV:L/AC:M/Au:S/C:C/I:C/A:C

脆弱性情報

CPE: p-cpe:/a:debian:debian_linux:virtualbox-ose, p-cpe:/a:debian:debian_linux:virtualbox-ose-dbg, p-cpe:/a:debian:debian_linux:virtualbox-ose-dkms, p-cpe:/a:debian:debian_linux:virtualbox-ose-fuse, p-cpe:/a:debian:debian_linux:virtualbox-ose-guest-dkms, p-cpe:/a:debian:debian_linux:virtualbox-ose-guest-source, p-cpe:/a:debian:debian_linux:virtualbox-ose-guest-utils, p-cpe:/a:debian:debian_linux:virtualbox-ose-guest-x11, p-cpe:/a:debian:debian_linux:virtualbox-ose-qt, p-cpe:/a:debian:debian_linux:virtualbox-ose-source, cpe:/o:debian:debian_linux:6.0

必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2015/9/29

参照情報

CVE: CVE-2013-3792, CVE-2014-2486, CVE-2014-2488, CVE-2014-2489, CVE-2015-2594

BID: 60794, 68610, 68618, 68621, 75899