2018-2404: VirtualBox: Eine Schwachstelle ermöglicht das Ausbrechen aus der Gastumgebung

Historie:

Version 1 (2018-11-26 15:09)

Neues Advisory

Betroffene Software

Virtualisierung

Betroffene Plattformen

Linux

Beschreibung:

Ein einfach authentisierter Angreifer mit Zugriff auf die Gastumgebung kann seine Privilegien eskalieren und letztlich beliebigen Programmcode im Kontext des VirtualBox-Prozesses in der Host-Umgebung zur Ausführung bringen. Ist die Gastumgebung aus der Ferne erreichbar, lässt sich die Schwachstelle auch von einem entfernen Angreifer ausnutzen.

Ausführliche Details zu der Schwachstelle wurden bereits am 6. November 2018 veröffentlicht. Oracle hat zeitnah zur Veröffentlichung der Details die Version 5.2.22 der Software herausgegeben, ohne näher auf die Schwachstelle einzugehen. Laut Entdecker der Schwachstelle ist diese in der genannten Version behoben. Oracle hat das bisher nicht bestätigt.

Für openSUSE Leap 15.0 und 42.3 stehen Sicherheitsupdates für 'virtualbox' zur Behebung der Schwachstelle bereit. Die Software wird damit auf Version 5.2.22 aktualisiert.

Für Fedora 28 und 29 stehen seit einiger Zeit die Pakete 'virtualbox-guest-additions-5.2.22-1.fc28' und 'virtualbox-guest-additions-5.2.22-1.fc29' im Status 'stable' bereit. In den zugehörigen Sicherheitshinweisen wird ebenfalls auf die Schwachstelle verwiesen.

Schwachstellen:

SUSE-BUG-ID-1115041

Schwachstelle in VirtualBox ermöglicht Privilegieneskalation

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.