Bulletin d'alerte Debian
DLA-313-1 virtualbox-ose -- Mise à jour de sécurité pour LTS
- Date du rapport :
- 29 septembre 2015
- Paquets concernés :
- virtualbox-ose
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2013-3792, CVE-2014-2486, CVE-2014-2488, CVE-2014-2489, CVE-2015-2594.
- Plus de précisions :
-
La dernière publication de maintenance des séries 3.2.x de VirtualBox (OSE) (c'est-à-dire la version 3.2.28) a été envoyée à Debian LTS (Squeeze). Merci à Gianfranco Costamagna d'avoir préparé les fichiers pour la vérification et l'envoi par l'équipe Debian LTS.
Malheureusement, Oracle ne fournit plus d'information sur des vulnérabilités de sécurité particulières dans VirtualBox, nous fournissons donc leur dernière publication de maintenance 3.2.28 dans Debian LTS (Squeeze) directement.
- CVE-2013-3792
Oracle a signalé qu'un problème de sécurité indéterminé dans le composant VM VirtualBox dans les versions de Virtualization VirtualBox d'Oracle antérieures à 3.2.18, 4.0.20, 4.1.28 et 4.2.18 permet à des utilisateurs locaux d'affecter la disponibilité grâce à des moyens relatifs au noyau.
Le correctif pour CVE-2013-3792 évite une vulnérabilité de déni de service de l'hôte virtio-net en ajoutant la prise en charge de grandes trames à IntNet, VirtioNet et NetFilter et en rejetant les trames trop grandes.
- CVE-2014-2486
Une vulnérabilité indéterminée dans le composant VM VirtualBox dans les versions de Virtualization VirtualBox d'Oracle antérieures à 3.2.24, 4.0.26, 4.1.34, 4.2.26 et 4.3.12 permet à des utilisateurs locaux d'affecter l'intégrité et la disponibilité grâce à des moyens inconnus relatifs au noyau.
Aucun détail supplémentaire n'a été fourni, la portée de l'attaque a été donnée comme locale, faible sévérité.
- CVE-2014-2488
Une vulnérabilité indéterminée dans le composant VM VirtualBox dans les versions de Virtualization VirtualBox d'Oracle antérieures à 3.2.24, 4.0.26, 4.1.34, 4.2.26 et 4.3.12 permet à des utilisateurs locaux d'affecter la confidentialité grâce à de moyens inconnus relatifs au noyau.
Aucun détail supplémentaire n'a été fourni, la portée de l'attaque a été donnée comme locale, faible sévérité.
- CVE-2014-2489
Une vulnérabilité indéterminée dans le composant VM VirtualBox dans les versions de Virtualization VirtualBox d'Oracle antérieures à 3.2.24, 4.0.26, 4.1.34, 4.2.26 et 4.3.12 permet à des utilisateurs locaux d'affecter la confidentialité, l'intégrité et la disponibilité grâce à des moyens inconnus relatifs au noyau.
Aucun détail supplémentaire n'a été fourni,la portée de l'attaque a été donnée comme locale, sévérité moyenne.
- CVE-2015-2594
Une vulnérabilité indéterminée dans le composant VM VirtualBox dans les versions de Virtualization VirtualBox d'Oracle antérieures à 4.0.32, 4.1.40, 4.2.32 et 4.3.30 permet à des utilisateurs locaux d'affecter la confidentialité, l'intégrité et la disponibilité grâce à des moyens inconnus relatifs au noyau.
Cette mise à jour corrige un problème relatif aux clients utilisant un réseau ponté grâce au WiFi.
- CVE-2013-3792