2022-0878: Oracle VM VirtualBox, Secure Global Desktop: Mehrere Schwachstellen ermöglichen u. a. eine komplette Kompromittierung
Historie:
- Version 1 (2022-04-20 18:41)
- Neues Advisory
- Version 2 (2022-05-18 18:35)
- Für openSUSE Leap 15.3 steht unter der wiederverwendeten Advisory-ID openSUSE-SU-2022:0135-1 (allerdings mit verschiedener URL) ein Sicherheitsupdate bereit, welches wiederum mit 'busybox' überschrieben ist. Im Vergleich zu dem früheren Sicherheitsupdate (siehe gesonderte Meldung vom 20. Januar 2022) neu bereitgestellt werden allerdings Pakete für 'virtualbox' zur Behebung der ebenfalls ergänzten Schwachstellen CVE-2022-21465, CVE-2022-21471, CVE-2022-21487, CVE-2022-21488 und CVE-2022-21491.
Betroffene Software
Server
Sicherheit
Virtualisierung
Betroffene Plattformen
Apple
Linux
Microsoft
Oracle
UNIX
Beschreibung:
Ein Angreifer kann eine Schwachstelle in Oracle Secure Global Desktop aus der Ferne ausnutzen, um Administratorrechte zu erlangen. Zudem kann ein Angreifer mehrere Schwachstellen in Oracle VM VirtualBox lokal ausnutzen, um Administratorrechte zu erlangen, Dateien zu manipulieren, Informationen auszuspähen und einen Denial-of-Service (DoS)-Angriff durchzuführen.
Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Die erfolgreiche Ausnutzung der meisten Schwachstellen kann Einfluss auf andere Komponenten haben.
Als Sicherheitsupdate steht Oracle VM VirtualBox in Version 6.1.34 bereit. Von der Schwachstelle CVE-2022-21491 sind ausschließlich Windows-Systeme betroffen.
Schwachstellen:
CVE-2021-40438
Schwachstelle in Apache HTTP-Server ermöglicht Server-Side-Request-Forgery-AngriffCVE-2022-21465
Schwachstelle in Oracle Virtualization ermöglicht u. a. Denial-of-Service-AngriffCVE-2022-21471
Schwachstelle in Oracle Virtualization ermöglicht Denial-of-Service-AngriffCVE-2022-21487
Schwachstelle in Oracle Virtualization ermöglicht Ausspähen von InformationenCVE-2022-21488
Schwachstelle in Oracle Virtualization ermöglicht Manipulation von DatenCVE-2022-21491
Schwachstelle in Oracle Virtualization ermöglicht komplette Kompromittierung der Software
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.