2019-0104: Oracle Virtualization: Mehrere Schwachstellen ermöglichen u. a. Denial-of-Service-Angriffe und die Übernahme des Systems
Historie:
- Version 1 (2019-01-16 16:34)
- Neues Advisory
- Version 2 (2019-01-25 18:19)
- SUSE stellt für openSUSE Leap 42.3 ein Sicherheitsupdate von 'virtualbox' in Form der Version 5.2.24 bereit, um die Schwachstellen zu schließen.
- Version 3 (2019-01-31 11:27)
- Oracle informiert darüber, dass die Schwachstelle CVE-2019-2527 in Oracle VM VirtualBox erst mit den Versionen 5.2.26 und 6.0.4 behoben wird. Für andere Schwachstellen in diesem Produkt gelten die bisher verfügbaren Informationen weiterhin.
- Version 4 (2019-06-12 11:12)
- openSUSE veröffentlicht für die Distribution openSUSE Leap 15.0 ein Sicherheitsupdate auf die 'virtualbox' Version 5.2.24, um die 30 aufgeführten Schwachstellen zu beheben.
Betroffene Software
Server
Sicherheit
Virtualisierung
Betroffene Plattformen
Apple
Linux
Microsoft
Oracle
UNIX
Beschreibung:
Zwei Schwachstellen in Oracle VM VirtualBox bzw. Oracle Secure Global Desktop ermöglichen einem entfernten, nicht authentisierten Angreifer Denial-of-Service (DoS)-Angriffe. Weitere Schwachstellen in Oracle VM VirtualBox sowie Oracle Secure Global Desktop ermöglichen einem lokalen, authentisierten und zumeist niedrig privilegierten Angreifer eine komplette Kompromittierung der Software und damit eine Übernahme der Kontrolle über ein betroffenes System, die Durchführung von Denial-of-Service-Angriffen, die Darstellung falscher Informationen und das Ausspähen von Informationen, wie z. B des privaten Schlüssels.
Oracle veröffentlicht am regulären Januar-Patchtag zur Behebung der Schwachstellen die Oracle VM VirtualBox Versionen 5.2.24 und 6.0.2. Der Hersteller gibt an, dass der Fix für die Schwachstelle CVE-2018-0734 auch die Schwachstellen CVE-2018-0735 und CVE-2018-5407 adressiert.
Schwachstellen:
CVE-2018-0734
Schwachstelle in OpenSSL ermöglicht Ausspähen des privaten SchlüsselsCVE-2018-11763
Schwachstelle in Apache HTTP-Server (httpd) ermöglicht Denial-of-Service-AngriffCVE-2018-11784
Schwachstelle in Apache Tomcat ermöglicht Darstellen falscher InformationenCVE-2018-3309
Schwachstelle in Oracle VM VirtualBox ermöglicht komplette Kompromittierung der SoftwareCVE-2019-2446 CVE-2019-2448
Schwachstellen in Oracle VM VirtualBox ermöglichen Ausspähen von InformationenCVE-2019-2450 CVE-2019-2451 CVE-2019-2554 CVE-2019-2555 CVE-2019-2556
Schwachstellen in Oracle VM VirtualBox ermöglichen Ausspähen von InformationenCVE-2019-2500 CVE-2019-2524 CVE-2019-2552
Schwachstellen in Oracle VM VirtualBox ermöglichen komplette Kompromittierung der SoftwareCVE-2019-2501 CVE-2019-2504 CVE-2019-2505 CVE-2019-2506 CVE-2019-2553
Schwachstellen in Oracle VM VirtualBox ermöglichen Ausspähen von InformationenCVE-2019-2508 CVE-2019-2509
Schwachstellen in Oracle VM VirtualBox ermöglichen Denial-of-Service-AngriffeCVE-2019-2511
Schwachstelle in Oracle VM VirtualBox ermöglicht Denial-of-Service-AngriffCVE-2019-2520 CVE-2019-2521 CVE-2019-2522 CVE-2019-2523 CVE-2019-2526
Schwachstellen in Oracle VM VirtualBox ermöglichen komplette Kompromittierung der SoftwareCVE-2019-2525
Schwachstelle in Oracle VM VirtualBox ermöglicht Ausspähen von InformationenCVE-2019-2527
Schwachstelle in Oracle VM VirtualBox ermöglicht Denial-of-Service-AngriffCVE-2019-2548
Schwachstelle in Oracle VM VirtualBox ermöglicht komplette Kompromittierung der Software
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.