AVIS CERTFR - 2020 - AVI - 038

AVIS CERT
CERT-FR

Publié le 15 janvier 2020 à 17h10

Objet : Multiples vulnérabilités dans Oracle Virtualization

Référence : CERTFR-2020-AVI-038

Risque(s)

- Exécution de code arbitraire à distance
- Déni de service à distance
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données

Systèmes affectés

- Oracle Secure Global Desktop versions 5.4 et 5.5
- Oracle VM VirtualBox versions antérieures à 5.2.36, antérieures à 6.0.16 et antérieures à 6.1.2

Résumé

De multiples vulnérabilités ont été découvertes dans Oracle Virtualization. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à l'intégrité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité Oracle cpujan2020 du 14 janvier 2020

https://www.oracle.com/security-alerts/cpujan2020.html

- Bulletin de sécurité Oracle cpujan2020verbose du 14 janvier 2020

https://www.oracle.com/security-alerts/cpujan2020verbose.html#OVIR

- Référence CVE CVE-2019-0227

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0227

- Référence CVE CVE-2019-10092

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10092

- Référence CVE CVE-2019-1547

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1547

- Référence CVE CVE-2019-17091

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17091

- Référence CVE CVE-2020-2674

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2674

- Référence CVE CVE-2020-2678

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2678

- Référence CVE CVE-2020-2681

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2681

- Référence CVE CVE-2020-2682

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2682

- Référence CVE CVE-2020-2689

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2689

- Référence CVE CVE-2020-2690

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2690

- Référence CVE CVE-2020-2691

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2691

- Référence CVE CVE-2020-2692

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2692

- Référence CVE CVE-2020-2693

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2693

- Référence CVE CVE-2020-2698

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2698

- Référence CVE CVE-2020-2701

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2701

- Référence CVE CVE-2020-2702

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2702

- Référence CVE CVE-2020-2703

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2703

- Référence CVE CVE-2020-2704

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2704

- Référence CVE CVE-2020-2705

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2705

- Référence CVE CVE-2020-2725

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2725

- Référence CVE CVE-2020-2726

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2726

- Référence CVE CVE-2020-2727

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2727

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-038/