DFN-CERT

Advisory-Archiv

2018-0104: Oracle Virtualization: Mehrere Schwachstellen ermöglichen die Übernahme von Systemkomponenten

Historie:

Version 1 (2018-01-17 18:27)
Neues Advisory
Version 2 (2018-01-24 14:11)
Für openSUSE Leap 42.2 und 42.3 stehen Sicherheitsupdates für 'virtualbox' auf Version 5.1.32 zur Verfügung. Mit diesem Sicherheitsupdate werden auch Mitigationen gegen die unter dem Namen Spectre (Variante 2) bekannte Schwachstelle CVE-2017-5715 umgesetzt.

Betroffene Software

Server
Sicherheit
Virtualisierung

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Eine Schwachstelle in Oracle Secure Global Desktop ermöglicht einem entfernten, nicht authentisierten Angreifer die Übernahme der Komponente, eine weitere Schwachstelle ermöglicht einem solchen Angreifer das Ausspähen von Informationen.
Mehrere Schwachstellen in Oracle VM VirtualBox ermöglichen einem lokalen, authentisierten und nicht authentisierten Angreifer die Übernahme der Kontrolle über das System. Zwei weitere Schwachstellen ermöglichen auch einem entfernten, nicht authentisierten Angreifer das Ausspähen von Informationen.

Zur Behebung der Schwachstellen stellt Oracle die Oracle VM VirtualBox 5.1.32 und 5.2.6 zur Verfügung sowie ein Sicherheitsupdate für Oracle Secure Global Desktop (SDG) in der Version 5.3. Das Update für die OpenSSL-Schwachstelle CVE-2017-3736 adressiert auch die Schwachstelle CVE-2017-3735.

Schwachstellen:

CVE-2017-3735

Schwachstelle in OpenSSL ermöglicht Darstellung falscher Informationen

CVE-2017-3736

Schwachstelle in OpenSSL ermöglicht Ausspähen von Informationen

CVE-2017-5645

Schwachstelle in Apache Log4j ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-5715

Schwachstelle in Implementierung der spekulativen Instruktionsausführung für Mikroprozessoren ermöglicht Ausspähen von Informationen

CVE-2018-2676

Schwachstelle in Oracle VM VirtualBox ermöglicht Übernahme der Komponente

CVE-2018-2685 CVE-2018-2686 CVE-2018-2687 CVE-2018-2688 CVE-2018-2689 CVE-2018-2690

Schwachstellen in Oracle VM VirtualBox ermöglichen Übernahme der Komponente

CVE-2018-2693

Schwachstelle in Oracle VM VirtualBox ermöglicht Übernahme der Komponente

CVE-2018-2694 CVE-2018-2698

Schwachstellen in Oracle VM VirtualBox ermöglichen Übernahme der Komponente

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.