Oracle Virtualization VM VirtualBox组件访问控制错误漏洞

CVE编号

CVE-2019-2877

利用情况

暂无

补丁情况

官方补丁

披露时间

2019-07-24

漏洞描述

Oracle Virtualization是美国甲骨文（Oracle）公司的一套虚拟化解决方案。该产品用于统一管理从应用程序到磁盘的整个硬件和软件体系，可实现从桌面到数据中心的虚拟化。VM VirtualBox是其中的一个虚拟机组件。 Oracle Virtualization中的VM VirtualBox组件5.2.32之前版本和6.0.10之前版本的Core子组件存在安全漏洞。攻击者可利用该漏洞造成拒绝服务（挂起或频繁崩溃），影响数据的可用性。

解决建议

厂商已发布了漏洞修复程序，请及时关注更新：
https://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.html

参考链接
http://lists.opensuse.org/opensuse-security-announce/2019-07/msg00056.html
http://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.html
https://security.gentoo.org/glsa/202101-09

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	oracle	vm_virtualbox	*		Up to (excluding) 5.2.32
	运行在以下环境
	应用	oracle	vm_virtualbox	*	From (including) 6.0.0	Up to (excluding) 6.0.10
	运行在以下环境
	系统	opensuse_Leap_15.0	python3-virtualbox	*		Up to (excluding) 6.0.10-lp151.2.6.1
	运行在以下环境
	系统	opensuse_Leap_15.0	virtualbox	*		Up to (excluding) 6.0.10-lp151.2.6.1
	运行在以下环境
	系统	opensuse_Leap_15.0	virtualbox-devel	*		Up to (excluding) 6.0.10-lp151.2.6.1
	运行在以下环境
	系统	opensuse_Leap_15.0	virtualbox-guest-desktop-icons	*		Up to (excluding) 6.0.10-lp151.2.6.1
	运行在以下环境
	系统	opensuse_Leap_15.0	virtualbox-guest-kmp-default	*		Up to (excluding) 6.0.10-lp151.2.6.1
	运行在以下环境
	系统	opensuse_Leap_15.0	virtualbox-guest-source	*		Up to (excluding) 6.0.10-lp151.2.6.1
	运行在以下环境
	系统	opensuse_Leap_15.0	virtualbox-guest-tools	*		Up to (excluding) 6.0.10-lp151.2.6.1
	运行在以下环境
	系统	opensuse_Leap_15.0	virtualbox-guest-x11	*		Up to (excluding) 6.0.10-lp151.2.6.1
	运行在以下环境
	系统	opensuse_Leap_15.0	virtualbox-host-kmp-default	*		Up to (excluding) 6.0.10-lp151.2.6.1
	运行在以下环境
	系统	opensuse_Leap_15.0	virtualbox-host-source	*		Up to (excluding) 6.0.10-lp151.2.6.1
	运行在以下环境
	系统	opensuse_Leap_15.0	virtualbox-qt	*		Up to (excluding) 6.0.10-lp151.2.6.1
	运行在以下环境
	系统	opensuse_Leap_15.0	virtualbox-vnc	*		Up to (excluding) 6.0.10-lp151.2.6.1
	运行在以下环境
	系统	opensuse_Leap_15.0	virtualbox-websrv	*		Up to (excluding) 6.0.10-lp151.2.6.1
	运行在以下环境
	系统	opensuse_Leap_15.1	python3-virtualbox	*		Up to (excluding) 6.0.10-lp151.2.6.1
	运行在以下环境
	系统	opensuse_Leap_15.1	virtualbox	*		Up to (excluding) 6.0.10-lp151.2.6.1
	运行在以下环境
	系统	opensuse_Leap_15.1	virtualbox-devel	*		Up to (excluding) 6.0.10-lp151.2.6.1
	运行在以下环境
	系统	opensuse_Leap_15.1	virtualbox-guest-desktop-icons	*		Up to (excluding) 6.0.10-lp151.2.6.1
	运行在以下环境
	系统	opensuse_Leap_15.1	virtualbox-guest-kmp-default	*		Up to (excluding) 6.0.10-lp151.2.6.1
	运行在以下环境
	系统	opensuse_Leap_15.1	virtualbox-guest-source	*		Up to (excluding) 6.0.10-lp151.2.6.1
	运行在以下环境
	系统	opensuse_Leap_15.1	virtualbox-guest-tools	*		Up to (excluding) 6.0.10-lp151.2.6.1
	运行在以下环境
	系统	opensuse_Leap_15.1	virtualbox-guest-x11	*		Up to (excluding) 6.0.10-lp151.2.6.1
	运行在以下环境
	系统	opensuse_Leap_15.1	virtualbox-host-kmp-default	*		Up to (excluding) 6.0.10-lp151.2.6.1
	运行在以下环境
	系统	opensuse_Leap_15.1	virtualbox-host-source	*		Up to (excluding) 6.0.10-lp151.2.6.1
	运行在以下环境
	系统	opensuse_Leap_15.1	virtualbox-qt	*		Up to (excluding) 6.0.10-lp151.2.6.1
	运行在以下环境
	系统	opensuse_Leap_15.1	virtualbox-vnc	*		Up to (excluding) 6.0.10-lp151.2.6.1
	运行在以下环境
	系统	opensuse_Leap_15.1	virtualbox-websrv	*		Up to (excluding) 6.0.10-lp151.2.6.1
	运行在以下环境
	系统	ubuntu_20.04	virtualbox	*		Up to (excluding) 6.1.16-dfsg-6~ubuntu1.20.04.1

攻击路径本地
攻击复杂度复杂
权限要求普通权限
影响范围有限影响
EXP成熟度未验证
补丁情况官方补丁
数据保密性无影响
数据完整性无影响
服务器危害无影响
全网数量 100

CWE-ID 漏洞类型 NVD-CWE-noinfo

正文

Oracle Virtualization VM VirtualBox组件访问控制错误漏洞

漏洞描述

解决建议

参考链接

受影响软件情况

相关阅读

IBM Security Network Protection GSKit信息泄露漏洞

PHP ‘serialize_function_call()’函数远程代码执行漏洞

PHP 'gdImageRotateInterpolated'函数拒绝服务漏洞

PHP ‘phar_fix_filepath()’函数栈缓冲区溢出漏洞

发表评论取消回复

还没有评论，来说两句吧...

目录[+]