Oracle VM VirtualBox <6.1.44、< 7.0.8(2023 年 4 月 CPU)
high Nessus 插件 ID 174462
语言:
简介
远程主机受到多个漏洞影响描述
远程主机上安装的 VirtualBox 版本低于 6.144 或 7.0.8。因此,该软件受到 2023 年 4 月 CPU 公告中提及的多个漏洞影响:- Oracle Virtualization 的 Oracle VM VirtualBox 产品中存在漏洞(组件:Core)。支持的版本中受影响的是 6.1.44 和 7.0.8 之前的版本。可轻松利用的漏洞允许高权限攻击者登录 Oracle VM VirtualBox 执行的基础结构,从而破坏 Oracle VM VirtualBox。虽然该漏洞存在于 Oracle VM VirtualBox, 中,但攻击可能对其他产品造成重大影响(范围更改)。成功利用此漏洞进行攻击可导致接管 Oracle VM VirtualBox。(CVE-2023-21990)
- Oracle Virtualization 的 Oracle VM VirtualBox 产品中存在漏洞(组件:Core)。支持的版本中受影响的是 6.1.44 和 7.0.8 之前的版本。难以利用的漏洞允许低权限攻击者登录 Oracle VM VirtualBox 执行的基础结构,从而破坏 Oracle VM VirtualBox 。虽然该漏洞存在于 Oracle VM VirtualBox, 中,但攻击可能对其他产品造成重大影响(范围更改)。成功利用此漏洞进行攻击可导致接管 Oracle VM VirtualBox。(CVE-2023-21987)
- Oracle Virtualization 的 Oracle VM VirtualBox 产品中存在漏洞(组件:Core (cURL))。支持的版本中受影响的是 6.1.44 和 7.0.8 之前的版本。在 7.86.0 版之前的 curl 中,可绕过 HSTS 检查以诱骗其继续使用 HTTP。使用其 HSTS 支持,即使在 URL 中提供 HTTP 时,也可指示 curl 直接使用 HTTPS,而不是使用不安全的明文 HTTP 步骤。如果给定 URL 中的主机名使用在 IDN 转换过程中被 ASCII 对应项替换的 IDN 字符,则可绕过此机制。例如使用字符 UTF-8 U+3002 (IDEOGRAPHIC FULL STOP) 而不是通用 ASCII 句号 U+002E (.)。(CVE-2022-42916) 请注意,Nessus 没有测试此问题,而仅依赖于应用程序自我报告的版本号。
解决方案
根据 2023 年 4 月 Oracle 关键补丁更新公告,应用相应的补丁。另见
插件详情
严重性: High
ID: 174462
文件名: virtualbox_7_0_8_apr_2023_cpu.nasl
版本: 1.3
类型: local
代理: windows, macosx, unix
系列: Misc.
发布时间: 2023/4/19
最近更新时间: 2023/7/20
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.5
CVSS v2
风险因素: High
基本分数: 7.8
时间分数: 5.8
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:N/A:N
CVSS 分数来源: CVE-2022-42916
CVSS v3
风险因素: High
基本分数: 8.2
时间分数: 7.1
矢量: CVSS:3.0/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
CVSS 分数来源: CVE-2023-21990
漏洞信息
CPE: cpe:/a:oracle:vm_virtualbox
易利用性: No known exploits are available
补丁发布日期: 2023/4/18
漏洞发布日期: 2023/4/18
参考资料信息
CVE: CVE-2022-42916, CVE-2023-21987, CVE-2023-21988, CVE-2023-21989, CVE-2023-21990, CVE-2023-21991, CVE-2023-21999, CVE-2023-22000, CVE-2023-22001, CVE-2023-22002
IAVA: 2023-A-0216-S