检测

openSUSE 安全更新:virtualbox (openSUSE-2016-1087)

medium Nessus 插件 ID 93596

语言:

简介

远程 openSUSE 主机缺少安全更新。

描述

Virtualbox 已更新到 5.0.26,修复了以下问题:

此更新可修复各种安全问题。

- CVE-2016-3612:在低于 5.0.22 的 Oracle Virtualization VirtualBox 中,Oracle VM VirtualBox 组件的一个不明漏洞允许远程攻击者通过与核心有关的矢量影响机密性。
 (boo#990369)。

- CVE-2016-3597:在低于 5.0.26 的 Oracle Virtualization VirtualBox 中,Oracle VM VirtualBox 组件的一个不明漏洞允许本地用户通过与核心有关的矢量影响可用性。(bsc#990370)

- 将主机 <-> 客户机 KMP 冲突依存关系更新为不再参考旧名称 (boo#983927)。

这是维护版本。已修复和/或添加以下项目:

- VMM:已修复任务切换代码中的一个缺陷(票证 #15571)

- GUI:允许在存储日志文件时覆盖现有文件(缺陷 #8034)

- GUI:已修复在独立模式下启动 VM 时的屏幕截图

- 音频:已改善从 USB 耳机及可能需要转换所捕获数据的其他源录制的效果

- 音频:已修复在 Solaris 主机上没有任何音频出现的回归问题

- VGA:已修复在启用 3D 的情况下运行 Windows 客户机时偶尔出现的挂起情况

- 存储:已修复连接目标成功但其他 I/O 请求造成中断连接的 iSCSI 后端的可能的重新连接死循环问题

- 存储:已修复因调整某些 VDI 图像大小而导致在主机上使用整个磁盘的缺陷(缺陷 #15582)

- EFI:已修复连接至 SATA 端口 2 与更高端口的设备访问问题(缺陷 #15607)

- API:已修复 VBoxHeadless 的视频录制问题(缺陷 #15443)

- API:若未配置图形控制器则不会崩溃(缺陷 #15628)

- VBoxSVC:已修复处理 .dmg 图像时的多个内存泄漏

版本升级至 5.0.24(2016 年 6 月 28 日由 Oracle 发布)这是维护版本。已修复和/或添加以下项目:

- VMM:现在已恢复为旧的 I/O-APIC 代码以修复 5.0.22 的某些回归情况(缺陷 #15529)。这表示某些客户机的网络性能将会下降至 5.0.20 级别(缺陷 #15295)。有一个变通方案是对于 Linux 客户机禁用 GRO。

- 主系统:当抓取屏幕截图时,不会对于空白的屏幕保存无用内容

- NAT:正确解析含有多种分隔符的 resolv.conf 文件(5.0.22 回归)

- 存储:已修复当第一次在读取/写入模式下打开时,VMware 中数据流优化 VMDK 图像的可能损坏情况。

- 音频:已实现 Mac OS X 主机上输入/输出设备的动态重新连接

- ACPI:当电池 / AC 状态变更时通知客户机,而非依赖客户机轮询

- Linux 主机:已修复 Linux 4.6 或更高版本主机上的 VERR_VMM_SET_JMP_ABORTED_RESUME Guru Meditation(缺陷 #15439)

版本升级至 5.0.22(2016 年 6 月 16 日由 Oracle 发布)这是维护版本。已修复和/或添加以下项目:

- VMM:某些 Intel Atom 主机的补丁(缺陷 #14915)

- VMM:在 Intel Sandy Bridge 与 Ivy Bridge CPU 的 64 位主机上正确还原和完成 32 位客户机的 FPU 状态

- VMM:修复多个缺陷并提高某些情况下的性能的新 I/O-APIC 实现(缺陷 #15295 与其他缺陷)

- VMM:已修复 AMD 主机上的潜在 Linux 客户机错误

- VMM:已修复 Intel CPU 上 32 位 EFI 客户机的潜在挂起情况(没有无限制客户机执行的 VT-x)

- GUI:不允许启动后续的单独 VM 实例

- GUI:已提高视频捕获屏幕分辨率的上限(缺陷 #15432)

- GUI:如果 VM 的已配置 VRAM 少于 128MB 且已启用 3D,则发出警告

- 主系统:当在 Windows 主机上监控 DNS 配置变更时,防止误报完成 DHCP 续约。这应在主机有多种 DHCP 配置的接口时修复 NAT link flap,特别是当主机使用 OpnVPN 时。

- 主系统:如果无法在运行时启用 VRDE 服务器(例如因为其他服务正在使用相同端口),则会正确显示错误消息

- NAT:使用默认客户机地址对于通配符端口转发规则初始化客户机地址猜测(缺陷 #15412)

- VGA:修复使某些旧版客户机在某些情况下崩溃的问题(缺陷 #14811)

- OVF:已修复某些使用第三方应用程序创建的 AHCI 控制器的设备导入问题

- SDK:已减少 webservice Java 绑定中的内存使用率

- Windows Additions:修复当调整客户机监视器大小或禁用客户机监视器时保持客户机显示布局的问题

- Linux 主机:EL 6.8 补丁(缺陷 #15411)

- Linux 主机:Linux 4.7 补丁(缺陷 #15459)

- Linux 附加组件:Linux 4.7 补丁(缺陷 #15444)

- Linux Additions:修复某些 32 位客户机(5.0.18 回归;缺陷 #15320)

- Linux Additions:已修复鼠标指针偏移(5.0.18 回归;缺陷 #15324)

- Linux Additions:使旧 X.Org 版本在内核 3.11 与更高版本中能够再次正常运作(5.0.18 回归;缺陷 #15319)

- Linux Additions:已修复硬客户机重置之后的 X.Org 崩溃问题(5.0.18 回归;缺陷 #15354)

- Linux Additions:如果加载共享文件夹模块失败,则不会停止 X11 设置(5.0.18 回归)

- Linux Additions:如果主机上无法使用拖放服务,则不会提出投诉

- Solaris Additions:已添加 X.org 1.18 的支持

解决方案

更新受影响的 virtualbox 程序包。

另见

https://bugzilla.opensuse.org/show_bug.cgi?id=983927

https://bugzilla.opensuse.org/show_bug.cgi?id=990369

https://bugzilla.opensuse.org/show_bug.cgi?id=990370

插件详情

严重性: Medium

ID: 93596

文件名: openSUSE-2016-1087.nasl

版本: 2.4

类型: local

代理: unix

发布时间: 2016/9/20

最近更新时间: 2021/1/19

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

风险信息

VPR

风险因素: Low

分数: 3.6

CVSS v2

风险因素: Medium

基本分数: 4.3

矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N

CVSS v3

风险因素: Medium

基本分数: 5.9

矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

漏洞信息

CPE: p-cpe:/a:novell:opensuse:virtualbox-devel, p-cpe:/a:novell:opensuse:virtualbox-guest-desktop-icons, p-cpe:/a:novell:opensuse:virtualbox-guest-kmp-default, p-cpe:/a:novell:opensuse:virtualbox-guest-kmp-default-debuginfo, p-cpe:/a:novell:opensuse:virtualbox-guest-kmp-desktop, p-cpe:/a:novell:opensuse:virtualbox-guest-kmp-desktop-debuginfo, p-cpe:/a:novell:opensuse:virtualbox-guest-kmp-pae, p-cpe:/a:novell:opensuse:virtualbox-guest-kmp-pae-debuginfo, p-cpe:/a:novell:opensuse:virtualbox-guest-tools, p-cpe:/a:novell:opensuse:virtualbox-guest-tools-debuginfo, p-cpe:/a:novell:opensuse:virtualbox-guest-x11, p-cpe:/a:novell:opensuse:virtualbox-guest-x11-debuginfo, p-cpe:/a:novell:opensuse:virtualbox-host-kmp-default, p-cpe:/a:novell:opensuse:virtualbox-host-kmp-default-debuginfo, p-cpe:/a:novell:opensuse:virtualbox-host-kmp-desktop, p-cpe:/a:novell:opensuse:virtualbox-host-kmp-desktop-debuginfo, p-cpe:/a:novell:opensuse:virtualbox-host-kmp-pae, p-cpe:/a:novell:opensuse:virtualbox-host-kmp-pae-debuginfo, p-cpe:/a:novell:opensuse:python-virtualbox, p-cpe:/a:novell:opensuse:python-virtualbox-debuginfo, p-cpe:/a:novell:opensuse:virtualbox, p-cpe:/a:novell:opensuse:virtualbox-debuginfo, p-cpe:/a:novell:opensuse:virtualbox-debugsource, p-cpe:/a:novell:opensuse:virtualbox-host-source, p-cpe:/a:novell:opensuse:virtualbox-qt, p-cpe:/a:novell:opensuse:virtualbox-qt-debuginfo, p-cpe:/a:novell:opensuse:virtualbox-websrv, p-cpe:/a:novell:opensuse:virtualbox-websrv-debuginfo, cpe:/o:novell:opensuse:13.2

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

补丁发布日期: 2016/9/15

参考资料信息

CVE: CVE-2016-3597, CVE-2016-3612