2019-2164: Oracle Virtualization: Mehrere Schwachstellen ermöglichen u. a. die komplette Kompromittierung der Software

Historie:

Version 1 (2019-10-16 18:34): Neues Advisory

Betroffene Software

Virtualisierung

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Mehrere Schwachstellen in Oracle VM VirtualBox ermöglichen einem lokalen, einfach authentisierten und zum Teil niedrig privilegierten Angreifer eine komplette Kompromittierung der Software und somit eine Übernahme der Kontrolle über ein betroffenes System, die Durchführung von Denial-of-Service (DoS)-Angriffen sowie das Ausspähen von Informationen und in einem Fall die Manipulation von Daten. Eine Schwachstelle in der von Oracle VM VirtualBox genutzten OpenSSL Bibliothek, die von Oracle explizit aufgeführt wird, ermöglicht einem lokalen, authentisierten Angreifer ebenfalls das Ausspähen von Informationen. Die Korrektur dieser OpenSSL-Schwachstelle umfasst ebenfalls die Behebung der Schwachstellen CVE-2019-1549, CVE-2019-1552 und CVE-2019-1563, die dieser Meldung hinzugefügt wurden.
Oracle veröffentlicht anlässlich des Oktober-Patchtages zur Behebung der Schwachstellen die Oracle VM VirtualBox Versionen 5.2.34 und 6.0.14.

Schwachstellen:

CVE-2019-1547

Schwachstelle in OpenSSL ermöglicht Ausspähen von Informationen

CVE-2019-1549

Schwachstelle in OpenSSL ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2019-1552

Schwachstelle in OpenSSL ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2019-1563

Schwachstelle in OpenSSL ermöglicht Ausspähen von Informationen

CVE-2019-2926

Schwachstelle in Oracle VM VirtualBox ermöglicht Denial-of-Service-Angriff

CVE-2019-2944

Schwachstelle in Oracle VM VirtualBox ermöglicht u. a. Denial-of-Service-Angriff

CVE-2019-2984 CVE-2019-3002 CVE-2019-3005

Schwachstellen in Oracle VM VirtualBox ermöglichen Denial-of-Service-Angriffe

CVE-2019-3017

Schwachstelle in Oracle VM VirtualBox ermöglicht komplette Kompromittierung der Software

CVE-2019-3021