LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2015 / Informations sur la sécurité -- DLA-313-1 virtualbox-ose

Bulletin d'alerte Debian

DLA-313-1 virtualbox-ose -- Mise à jour de sécurité pour LTS

Date du rapport :

29 septembre 2015

Paquets concernés :

virtualbox-ose

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2013-3792, CVE-2014-2486, CVE-2014-2488, CVE-2014-2489, CVE-2015-2594.

Plus de précisions :

La dernière publication de maintenance des séries 3.2.x de VirtualBox (OSE) (c'est-à-dire la version 3.2.28) a été envoyée à Debian LTS (Squeeze). Merci à Gianfranco Costamagna d'avoir préparé les fichiers pour la vérification et l'envoi par l'équipe Debian LTS.

Malheureusement, Oracle ne fournit plus d'information sur des vulnérabilités de sécurité particulières dans VirtualBox, nous fournissons donc leur dernière publication de maintenance 3.2.28 dans Debian LTS (Squeeze) directement.

• CVE-2013-3792

  Oracle a signalé qu'un problème de sécurité indéterminé dans le composant VM VirtualBox dans les versions de Virtualization VirtualBox d'Oracle antérieures à 3.2.18, 4.0.20, 4.1.28 et 4.2.18 permet à des utilisateurs locaux d'affecter la disponibilité grâce à des moyens relatifs au noyau.

  Le correctif pour CVE-2013-3792 évite une vulnérabilité de déni de service de l'hôte virtio-net en ajoutant la prise en charge de grandes trames à IntNet, VirtioNet et NetFilter et en rejetant les trames trop grandes.

• CVE-2014-2486

  Une vulnérabilité indéterminée dans le composant VM VirtualBox dans les versions de Virtualization VirtualBox d'Oracle antérieures à 3.2.24, 4.0.26, 4.1.34, 4.2.26 et 4.3.12 permet à des utilisateurs locaux d'affecter l'intégrité et la disponibilité grâce à des moyens inconnus relatifs au noyau.

  Aucun détail supplémentaire n'a été fourni, la portée de l'attaque a été donnée comme locale, faible sévérité.

• CVE-2014-2488

  Une vulnérabilité indéterminée dans le composant VM VirtualBox dans les versions de Virtualization VirtualBox d'Oracle antérieures à 3.2.24, 4.0.26, 4.1.34, 4.2.26 et 4.3.12 permet à des utilisateurs locaux d'affecter la confidentialité grâce à de moyens inconnus relatifs au noyau.

  Aucun détail supplémentaire n'a été fourni, la portée de l'attaque a été donnée comme locale, faible sévérité.

• CVE-2014-2489

  Une vulnérabilité indéterminée dans le composant VM VirtualBox dans les versions de Virtualization VirtualBox d'Oracle antérieures à 3.2.24, 4.0.26, 4.1.34, 4.2.26 et 4.3.12 permet à des utilisateurs locaux d'affecter la confidentialité, l'intégrité et la disponibilité grâce à des moyens inconnus relatifs au noyau.

  Aucun détail supplémentaire n'a été fourni,la portée de l'attaque a été donnée comme locale, sévérité moyenne.

• CVE-2015-2594

  Une vulnérabilité indéterminée dans le composant VM VirtualBox dans les versions de Virtualization VirtualBox d'Oracle antérieures à 4.0.32, 4.1.40, 4.2.32 et 4.3.30 permet à des utilisateurs locaux d'affecter la confidentialité, l'intégrité et la disponibilité grâce à des moyens inconnus relatifs au noyau.

  Cette mise à jour corrige un problème relatif aux clients utilisant un réseau ponté grâce au WiFi.