检测

openSUSE 安全更新:virtualbox (openSUSE-2016-672)

medium Nessus 插件 ID 91483

语言:

简介

远程 openSUSE 主机缺少安全更新。

描述

Virtualbox 已更新到 5.0.20,修复了以下问题:

版本升级至 5.0.20(2016 年 4 月 28 日由 Oracle 发布) 这是维护版本。已修复和/或添加以下项目:

- NAT 网络:文件 VBoxNetNAT 不再需要 suid

- 存储:修复一个会造成来自 BIOS 的写入请求的回归,从而使 LsiLogic SCSI 控制器发生 Guru Meditation(5.0.18 回归;缺陷 #15317)

- 存储:BusLogic SCSI 控制器仿真中的多个仿真补丁

- NAT 网络:支持 DNS 代理中的 TCP(NAT 的缺陷 #14736 也有相同问题)

- NAT:重新执行端口转发规则的处理(缺陷 #13570)

- NAT:重写主机解析器,以处理更多查询类型并使其异步,这样等待的查找便不会阻断所有 NAT 流量

- 快照:将网络适配器多于当前状态(即,快照使用 ICH9,而当前状态使用 PIIX3 时)的快照进行还原时,不会造成崩溃

- 客户机控制:copyfrom 和 copyto 命令/API 的多种缺陷补丁(缺陷 #14336)

- VBoxManage:在 hostinfo 列表上列出处理器功能(缺陷 #15334)

- Linux 主机:CONFIG_NET_CLS_ACT 已启用时 Linux 4.5 的补丁(缺陷 #15327)

- Windows Additions:修复 Aero 禁用时的 PowerPoint 2010 性能问题及 WDDM 图形驱动程序

缺陷补丁:

- 应用适当的 boo#964765 补丁,该问题原本会造成使用 NAT 网络附件的客户机 VM 无法取得网络访问权限。基本问题是 /usr/lib/virtualbox/VBoxNetNAT 文件必须具备 suid 权限,而 spec 文件无法设置适当的权限。

- 在 openSUSE 13.2 中实现 VirtualBox 版本 5.0.18。
 在此之前,oS 13.2 一直使用 4.3.X,其为 13.2 发布时的 VB 系列。此策略已变更,13.2 版现已纳入 CVE-2016-0678 的补丁。缺陷报告 b.o.o #97366 有关于此漏洞的讨论。此提交也修复了 VB 5.0.18 中的缺陷,该缺陷原本会防止正确操作被配置为对于磁盘使用 LsiLogic 适配器的客户机 VM。
 如需问题描述,请参阅票证:https://www.virtualbox.org/ticket/15317;如需“changeset_60565.diff”文件中实现的补丁的相关信息,
请参阅:https://www.virtualbox.org/changeset/60565/vbox。

版本升级至 5.0.18(2016 年 4 月 18 日由 Oracle 发布)这是维护版本。已修复和/或添加以下项目:

- GUI:将超出屏幕的窗口放置在重新启动时可再次完全显示的位置,与默认行为一致(缺陷 #15226)

- GUI:修复 Mac OS X El Capitan 上的 [视图] 菜单/全屏模式行为

- GUI:修复允许以空白密码加密硬盘的测试

- GUI:修复 VM 关机期间某些情况下的崩溃

- GUI:修复进入群组时 VM 选取器中的 VM 列表滚动条大小

- 计算机扬声器通道:补丁(仅限 Linux 主机;缺陷 #627)

- 拖放:多个补丁

- SATA:修复使用 EFI 时的热插拔标记处理

- 存储:修复使用 SCSI 控制器对加密磁盘映像的处理(缺陷 #14812)

- 存储:修复使用 BusLogic SCSI 控制器时 Solaris 7 可能发生的崩溃

- USB:从 USB 字符串正确清除非 ASCII 字符(缺陷 #8801、#15222)

- NAT 网络:修复某些情况下 Mac OS X 中的 VBoxNetNAT 100% CPU 负载问题(缺陷 #15223)

- ACPI:修复 ACPI 表,使其能够再次显示颜色管理设置,以用于较旧的 Windows 版本(4.3.22 回归)

- 客户机控制:修复 VBoxManage copyfrom 命令(缺陷 #14336)

- 快照:修复删除较旧快照时的多个问题(缺陷 #15206)

- VBoxManage:修复 guestcontrol 命令的 --verbose 输出

- Windows 主机:强化最近 Windows 10 内部版本所需要的补丁(缺陷 #15245、#15296)

- Windows 主机:修复桥接联网的 jumbo 框架支持(5.0.16 回归;缺陷 #15209)

- Windows 主机:如果安装仅限主机的适配器,则不禁止接收多播流量(缺陷 #8698)

- Linux 主机:添加创建原始磁盘时对于 NVME 磁盘新命名方案的支持

- Solaris 主机/客户机:正确签署内核模块(缺陷 #12608)

- Linux 主机/客户机:Linux 4.5 补丁(缺陷 #15251)

- Linux 主机/客户机:Linux 4.6 补丁(缺陷 #15298)

- Linux Additions:添加内核图形驱动程序以在 X.Org 没有根权限时支持图形(缺陷 #14732)

- Linux/Solaris Additions:修复造成 Linux/Solatis 客户机在可使用 3D 加速时使用软件渲染的多个问题

- Windows Additions:修复禁用 Aero 时 PowerPoint 2010 与 WDDM 驱动程序的挂起问题

解决方案

更新受影响的 virtualbox 程序包。

另见

https://bugzilla.opensuse.org/show_bug.cgi?id=908383

https://bugzilla.opensuse.org/show_bug.cgi?id=939299

https://bugzilla.opensuse.org/show_bug.cgi?id=953018

https://bugzilla.opensuse.org/show_bug.cgi?id=964765

https://www.virtualbox.org/changeset/60565/vbox

https://www.virtualbox.org/ticket/15317

插件详情

严重性: Medium

ID: 91483

文件名: openSUSE-2016-672.nasl

版本: 2.4

类型: local

代理: unix

发布时间: 2016/6/6

最近更新时间: 2021/1/19

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: Medium

基本分数: 4.1

矢量: CVSS2#AV:L/AC:M/Au:S/C:P/I:P/A:P

CVSS v3

风险因素: Medium

基本分数: 6.7

矢量: CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H

漏洞信息

CPE: p-cpe:/a:novell:opensuse:python-virtualbox, p-cpe:/a:novell:opensuse:python-virtualbox-debuginfo, p-cpe:/a:novell:opensuse:virtualbox, p-cpe:/a:novell:opensuse:virtualbox-debuginfo, p-cpe:/a:novell:opensuse:virtualbox-debugsource, p-cpe:/a:novell:opensuse:virtualbox-devel, p-cpe:/a:novell:opensuse:virtualbox-guest-desktop-icons, p-cpe:/a:novell:opensuse:virtualbox-guest-kmp-default, p-cpe:/a:novell:opensuse:virtualbox-guest-kmp-default-debuginfo, p-cpe:/a:novell:opensuse:virtualbox-guest-kmp-desktop, p-cpe:/a:novell:opensuse:virtualbox-guest-kmp-desktop-debuginfo, p-cpe:/a:novell:opensuse:virtualbox-guest-kmp-pae, p-cpe:/a:novell:opensuse:virtualbox-guest-kmp-pae-debuginfo, p-cpe:/a:novell:opensuse:virtualbox-guest-x11, p-cpe:/a:novell:opensuse:virtualbox-guest-x11-debuginfo, p-cpe:/a:novell:opensuse:virtualbox-host-kmp-default, p-cpe:/a:novell:opensuse:virtualbox-host-kmp-default-debuginfo, p-cpe:/a:novell:opensuse:virtualbox-host-kmp-desktop, p-cpe:/a:novell:opensuse:virtualbox-host-kmp-desktop-debuginfo, p-cpe:/a:novell:opensuse:virtualbox-host-kmp-pae, p-cpe:/a:novell:opensuse:virtualbox-host-kmp-pae-debuginfo, p-cpe:/a:novell:opensuse:virtualbox-host-source, p-cpe:/a:novell:opensuse:virtualbox-qt, p-cpe:/a:novell:opensuse:virtualbox-qt-debuginfo, p-cpe:/a:novell:opensuse:virtualbox-websrv, p-cpe:/a:novell:opensuse:virtualbox-websrv-debuginfo, cpe:/o:novell:opensuse:13.2, p-cpe:/a:novell:opensuse:virtualbox-guest-tools, p-cpe:/a:novell:opensuse:virtualbox-guest-tools-debuginfo

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

补丁发布日期: 2016/6/1

参考资料信息

CVE: CVE-2016-0678