
<p dir="ltr">Yes. We'll talk to the upstream folks.</p>

<p dir="ltr">s3nt fr0m a $martph0ne, excuse typ0s</p>

<div class="gmail_quote">On Jan 21, 2015 1:28 PM, "Moritz Muehlenhoff" <<a href="mailto:jmm@inutil.org">jmm@inutil.org</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Wed, Jan 21, 2015 at 01:15:53PM +0530, Ritesh Raj Sarraf wrote:<br>

> On 01/21/2015 12:53 PM, Moritz Muehlenhoff wrote:<br>

> > Package: virtualbox<br>

> > Severity: grave<br>

> > Tags: security<br>

> > Justification: user security hole<br>

> ><br>

> > No specific details available yet:<br>

> > <a href="http://www.oracle.com/technetwork/topics/security/cpujan2015-1972971.html" target="_blank">http://www.oracle.com/technetwork/topics/security/cpujan2015-1972971.html</a><br>

> ><br>

> > Cheers,<br>

> >         Moritz<br>

> ><br>

><br>

> The following matrix is what I could grab.<br>

><br>

> <a href="http://www.oracle.com/technetwork/topics/security/cpujan2015-1972971.html#AppendixOVIR" target="_blank">http://www.oracle.com/technetwork/topics/security/cpujan2015-1972971.html#AppendixOVIR</a><br>

><br>

> CVE-2014-6595         Oracle VM VirtualBox    None    VMSVGA device   No      3.2<br>

> Local         Low     Single  None    Partial+        Partial+        VirtualBox prior to<br>

> 4.3.20        See Note 3<br>

> CVE-2014-6588         Oracle VM VirtualBox    None    VMSVGA device   No      3.2<br>

> Local         Low     Single  None    Partial+        Partial+        VirtualBox prior to<br>

> 4.3.20        See Note 3<br>

> CVE-2014-6589         Oracle VM VirtualBox    None    VMSVGA device   No      3.2<br>

> Local         Low     Single  None    Partial+        Partial+        VirtualBox prior to<br>

> 4.3.20        See Note 3<br>

> CVE-2014-6590         Oracle VM VirtualBox    None    VMSVGA device   No      3.2<br>

> Local         Low     Single  None    Partial+        Partial+        VirtualBox prior to<br>

> 4.3.20        See Note 3<br>

> CVE-2015-0427         Oracle VM VirtualBox    None    VMSVGA device   No      3.2<br>

> Local         Low     Single  None    Partial+        Partial+        VirtualBox prior to<br>

> 4.3.20        See Note 3<br>

> CVE-2015-0418         Oracle VM VirtualBox    None    Core    No      2.1     Local   Low<br>

> None  None    None    Partial+        VirtualBox prior to 3.2.26, 4.0.28, 4.1.36,<br>

> 4.2.28<br>

><br>

> *Notes:*<br>

><br>

>  1. This fix also addresses CVE-2014-0231, CVE-2014-0118 and CVE-2014-5704.<br>

>  2. This fix also addresses CVE-2014-0221, CVE-2014-0195, CVE-2014-0198,<br>

>     CVE-2010-5298, CVE-2014-3470 and CVE-2014-0076.<br>

>  3. VMSVGA virtual graphics device is not documented and is disabled by<br>

>     default.<br>

><br>

> @Moritz: There's nothing more detailed than the statement that all<br>

> versions proior to 4.3.20 are vulnerable.<br>

> 4.3.20 is in experimental right now.<br>

<br>

In the past someone from upstream posted the upstream commits to the<br>

bug log, maybe you can contact them for more information so that<br>

we can merge the isolated fixes into the jessie version?<br>

<br>

Cheers,<br>

        Moritz<br>

</blockquote></div>