GLSA-202310-07: Oracle VirtualBox：多个漏洞

high Nessus 插件 ID 182756

语言：

描述

远程主机受到 GLSA-202310-07 中所述漏洞的影响（Oracle VirtualBox：多个漏洞）

- Oracle Virtualization 的 Oracle VM VirtualBox 产品中存在漏洞（组件：Core）。支持的版本中受影响的是 6.1.42 和 7.0.6 之前的版本。可轻松利用的漏洞允许高权限攻击者登录 Oracle VM VirtualBox 执行的基础结构，从而破坏 Oracle VM VirtualBox。成功利用此漏洞进行攻击可导致在未经授权的情况下造成 Oracle VM VirtualBox 挂起或频繁出现崩溃（完整 DOS）。
(CVE-2023-21884)

- Oracle Virtualization 的 Oracle VM VirtualBox 产品中存在漏洞（组件：Core）。支持的版本中受影响的是 6.1.42 和 7.0.6 之前的版本。可轻松利用的漏洞允许低权限攻击者登录 Oracle VM VirtualBox 执行的基础结构，从而破坏 Oracle VM VirtualBox。虽然该漏洞存在于 Oracle VM VirtualBox, 中，但攻击可能对其他产品造成重大影响（范围更改）。如果成功攻击此漏洞，攻击者可在未经授权的境况下读取部分 Oracle VM VirtualBox 可访问数据。注意：仅适用于 Windows。
(CVE-2023-21885)

- Oracle Virtualization 的 Oracle VM VirtualBox 产品中存在漏洞（组件：Core）。支持的版本中受影响的是 6.1.42 和 7.0.6 之前的版本。利用此漏洞比较困难，具有网络访问权限的未经身份验证的攻击者可借此通过多个协议入侵 Oracle VM VirtualBox。成功利用此漏洞进行攻击可导致接管 Oracle VM VirtualBox。
(CVE-2023-21886)

- Oracle Virtualization 的 Oracle VM VirtualBox 产品中存在漏洞（组件：Core）。支持的版本中受影响的是 6.1.42 和 7.0.6 之前的版本。可轻松利用的漏洞允许低权限攻击者登录 Oracle VM VirtualBox 执行的基础结构，从而破坏 Oracle VM VirtualBox。虽然该漏洞存在于 Oracle VM VirtualBox, 中，但攻击可能对其他产品造成重大影响（范围更改）。成功攻击此漏洞可导致在未经授权的境况下，对 Oracle VM VirtualBox 可访问数据子集进行读取访问。(CVE-2023-21889)

- Oracle Virtualization 的 Oracle VM VirtualBox 产品中存在漏洞（组件：Core）。支持的版本中受影响的是 6.1.42 和 7.0.6 之前的版本。可轻松利用的漏洞允许低权限攻击者登录 Oracle VM VirtualBox 执行的基础结构，从而破坏 Oracle VM VirtualBox。成功利用此漏洞进行攻击可导致在未经授权的情况下造成 Oracle VM VirtualBox 挂起或频繁出现崩溃（完整 DOS）。注意：适用于运行 Windows 7 及更高版本的 VirtualBox VM。（CVE-2023-21898、CVE-2023-21899）

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

解决方案

所有 Oracle VirtualBox 用户皆应升级到最新版本：

# emerge --sync # emerge --ask --oneshot --verbose >=app-emulation/virtualbox-7.0.6 如果您仍然需要使用 VirtualBox 6：

# emerge --sync # emerge --ask --oneshot --verbose >=app-emulation/virtualbox-6.1.46 =app-emulation/virtualbox-6*