Bulletin d'alerte Debian

DLA-268-1 virtualbox-ose -- Mise à jour de sécurité pour LTS

Date du rapport :
6 juillet 2015
Paquets concernés :
virtualbox-ose
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-0377, CVE-2015-0418, CVE-2015-3456.
Plus de précisions :

Trois vulnérabilités ont été corrigées dans la version Debian Squeeze-lts de VirtualBox (nom de paquet : virtualbox-ose), une solution de virtualisation x86.

  • CVE-2015-0377

    Évite que VirtualBox permette à des utilisateurs locaux d'affecter la disponibilité grâce à des moyens inconnus relatifs au noyau, ce qui pourrait avoir pour conséquence un déni de service. (Problème différent de CVE-2015-0418).

  • CVE-2015-0418

    Évite que VirtualBox permette à des utilisateurs locaux d'affecter la disponibilité grâce à des moyens inconnus relatifs au noyau, ce qui pourrait avoir pour conséquence un déni de service. (Problème différent de CVE-2015-0377).

  • CVE-2015-3456

    Le contrôleur de disquette (FDC) de QEMU, qui est aussi utilisé dans VirtualBox et d'autres produits de virtualisation, permettait à des utilisateurs client de provoquer un déni de service (écriture hors limites et plantage de l'hôte) ou éventuellement d'exécuter du code arbitraire grâce aux commandes (1) FD_CMD_READ_ID, (2) FD_CMD_DRIVE_SPECIFICATION_COMMAND, ou d'autres indéterminées, (vulnérabilité appelée VENOM).