2021-0813: Oracle Virtualization: Mehrere Schwachstellen ermöglichen u. a. die vollständige Kompromittierung der Software
Historie:
- Version 1 (2021-04-21 12:52)
- Neues Advisory
- Version 2 (2021-05-17 08:29)
- Für openSUSE Leap 15.2 steht eine Sicherheitsupdate für 'virtualbox' auf Version 6.1.22 bereit, um 20 dieser Schwachstellen zu beheben. Die Software wird damit auf Version 6.1.22 (veröffentlicht am 29. April 2021 von Oracle) aktualisiert.
- Version 3 (2021-07-08 14:51)
- Für openSUSE Leap 15.3 steht das Sicherheitsupdate openSUSE-SU-2021:0977-1 für 'virtualbox' auf Version 6.1.22 bereit, um 20 dieser Schwachstellen zu beheben. Die Software wird damit auf Version 6.1.22 (veröffentlicht am 29. April 2021 von Oracle) aktualisiert. Zur Zeit erscheinen keine Hersteller-Advisories auf der üblichen Webseite (https://lists.opensuse.org/archives/list/updates@lists.opensuse.org/), es erfolgt aber weiterhin eine Benachrichtigung per E-Mail über verfügbare Sicherheitsupdates.
Betroffene Software
Server
Sicherheit
Virtualisierung
Betroffene Plattformen
Apple
Linux
Microsoft
Oracle
UNIX
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um die Software vollständig zu kompromittieren und Sicherheitsvorkehrungen zu umgehen. Eine Schwachstelle erfordert die Interaktion eines Benutzers. Zudem kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um ebenfalls die Software vollständig zu kompromittieren, Dateien zu manipulieren, Informationen auszuspähen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.
Der Hersteller gibt an, dass mit der Behebung der Schwachstelle CVE-2021-3450 auch CVE-2021-3449 behoben wurde.
Oracle stellt im Rahmen des Patchtags im April 2021 Sicherheitsupdates für Oracle Secure Global Desktop 5.6 und die Oracle VM VirtualBox Version 6.1.20 bereit, um die Schwachstellen zu beheben.
Schwachstellen:
CVE-2021-2145 CVE-2021-2309 CVE-2021-2310
Schwachstellen in Oracle Virtualization ermöglichen komplette Kompromittierung der SoftwareCVE-2021-2177
Schwachstelle in Oracle Secure Global Desktop ermöglicht komplette Kompromittierung der SoftwareCVE-2021-2221
Schwachstelle in Oracle Secure Global Desktop ermöglicht komplette Kompromittierung der SoftwareCVE-2021-2248
Schwachstelle in Oracle Secure Global Desktop ermöglicht komplette Kompromittierung der SoftwareCVE-2021-2250
Schwachstelle in Oracle Virtualization ermöglicht komplette Kompromittierung der SoftwareCVE-2021-2264
Schwachstelle in Oracle Virtualization ermöglicht ermöglicht u. a. Manipulation von DatenCVE-2021-2266 CVE-2021-2306 CVE-2021-2321
Schwachstellen in Oracle Virtualization ermöglichen Ausspähen von InformationenCVE-2021-2279
Schwachstelle in Oracle Virtualization ermöglicht komplette Kompromittierung der SoftwareCVE-2021-2280 CVE-2021-2282 CVE-2021-2283 CVE-2021-2285 CVE-2021-2287
Schwachstellen in Oracle Virtualization ermöglichen Ausspähen von InformationenCVE-2021-2281 CVE-2021-2284 CVE-2021-2286
Schwachstellen in Oracle Virtualization ermöglichen Manipulation von DatenCVE-2021-2291
Schwachstelle in Oracle Virtualization ermöglicht Ausspähen von InformationenCVE-2021-2296 CVE-2021-2297
Schwachstellen in Oracle Virtualization ermöglichen Ausspähen von InformationenCVE-2021-2312
Schwachstelle in Oracle Virtualization ermöglicht Denial-of-Service-AngriffCVE-2021-3450
Schwachstelle in OpenSSL ermöglicht Umgehen von Sicherheitsvorkehrungen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.