Рекомендация Debian по безопасности

DLA-313-1 virtualbox-ose -- обновление безопасности LTS

Дата сообщения:
29.09.2015
Затронутые пакеты:
virtualbox-ose
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2013-3792, CVE-2014-2486, CVE-2014-2488, CVE-2014-2489, CVE-2015-2594.
Более подробная информация:

В Debian LTS (squeeze) был загружен последний сопровождающий выпуск VirtualBox (OSE) серии 3.2.x (то есть, версия 3.2.28). Благодарим Джанфранко Костаманья за подготовку пакетов для проверки и загрузки командой Debian LTS.

К сожалению, Oracle более не предоставляет информацию о конкретных уязвимостях в VirtualBox, поэтому мы просто предоставляем их последнюю версию 3.2.28 в Debian LTS (squeeze).

  • CVE-2013-3792

    Сотрудники Oracle сообщили о неопределённой уязвимости в компоненте Oracle VM VirtualBox в Oracle Virtualization VirtualBox, которая имеет место в версиях до 3.2.18, 4.0.20, 4.1.28 и 4.2.18 и позволяет локальным пользователям влиять на доступность через неизвестные векторы, связанные с Core.

    Исправление CVE-2013-3792 предотвращает отказ в обслуживании на узле virtio-net путём добавления поддержки больших фреймов в IntNet, VirtioNet и NetFilter, а также отбрасывания слишком больших фреймов.

  • CVE-2014-2486

    Неопределённая уязвимость в компоненте Oracle VM VirtualBox в Oracle Virtualization VirtualBox в версиях до 3.2.24, 4.0.26, 4.1.34, 4.2.26 и 4.3.12 позволяет локальным пользователям оказывать влияние на целостность и доступность через неизвестные векторы, связанные с Core.

    Подробности отсутствуют, уязвимость описывается как локальная и имеющая низкую степень опасности.

  • CVE-2014-2488

    Неопределённая уязвимость в компоненте Oracle VM VirtualBox в Oracle Virtualization VirtualBox в версиях до 3.2.24, 4.0.26, 4.1.34, 4.2.26 и 4.3.12 позволяет локальным пользователям оказывать влияние на конфиденциальность через неизвестные векторы, связанные с Core.

    Подробности отсутствуют, уязвимость описывается как локальная и имеющая низкую степень опасности.

  • CVE-2014-2489

    Неопределённая уязвимость в компоненте Oracle VM VirtualBox в Oracle Virtualization VirtualBox в версиях до 3.2.24, 4.0.26, 4.1.34, 4.2.26 и 4.3.12 позволяет локальным пользователям оказывать влияние на конфиденциальность, целостность и доступность через неизвестные векторы, связанные с Core.

    Подробности отсутствуют, уязвимость описывается как локальная и имеющая среднюю степень опасности.

  • CVE-2015-2594

    Неопределённая уязвимость в компоненте Oracle VM VirtualBox в Oracle Virtualization VirtualBox в версиях до 4.0.32, 4.1.40, 4.2.32 и 4.3.30 позволяет локальным пользователям оказывать влияние на конфиденциальность, целостность и доступность через неизвестные векторы, связанные с Core.

    Данное обновление исправляет проблему, связанную с гостевыми системами, использующими мосты через WiFi.