2018-2563: Oracle Solaris: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2018-12-17 15:53)
- Neues Advisory
Betroffene Software
Systemsoftware
Betroffene Plattformen
Oracle
UNIX
Beschreibung:
Mehrere Schwachstellen in den von Oracle Solaris 11.4 genutzten Drittanbieterkomponenten cURL, Django, ImageMagick, libsndfile, LibTIFF, MySQL Server, Net-SNMP, Rust, Squid und Zsh ermöglichen einem in vielen Fällen entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes, verschiedene Denial-of-Service (DoS)-Angriffe, das Ausspähen von Informationen und einen Cross-Site-Scripting (XSS)-Angriff sowie eventuell weitere, nicht näher spezifizierte Angriffe. Ein lokaler, einfach authentifizierter Angreifer kann eine Schwachstelle unter bestimmten Umständen ausnutzen, um eine Privilegieneskalation durchzuführen.
Die Bewertung der Schwachstellen und die Auswirkung bei einer erfolgreichen Ausnutzung werden durch Oracle im Kontext von Solaris zum Teil anders bewertet als ursprünglich durch den Hersteller.
Durch die Korrektur der 11 referenzierten Schwachstellen adressiert Oracle ebenfalls die Schwachstellen CVE-2014-10071, CVE-2014-10072, CVE-2016-9843, CVE-2016-10714, CVE-2017-6892, CVE-2017-12794, CVE-2017-14246, CVE-2017-14618, CVE-2017-14634, CVE-2017-17456, CVE-2017-17457, CVE-2017-17942, CVE-2017-18013, CVE-2017-18205, CVE-2017-18206, CVE-2017-18250, CVE-2018-1071, CVE-2018-1083, CVE-2018-1100, CVE-2018-2767, CVE-2018-3058, CVE-2018-3066, CVE-2018-3081, CVE-2018-3133, CVE-2018-3143, CVE-2018-3144, CVE-2018-3155, CVE-2018-3156, CVE-2018-3161, CVE-2018-3162, CVE-2018-3171, CVE-2018-3173, CVE-2018-3174, CVE-2018-3185, CVE-2018-3200, CVE-2018-3247, CVE-2018-3251, CVE-2018-3276, CVE-2018-3277, CVE-2018-3278, CVE-2018-3282, CVE-2018-3283, CVE-2018-3284, CVE-2018-7536, CVE-2018-7537, CVE-2018-7548, CVE-2018-7549, CVE-2018-9135, CVE-2018-10177, CVE-2018-11625, CVE-2018-12599, CVE-2018-12600, CVE-2018-13139, CVE-2018-13153, CVE-2018-13419, CVE-2018-14434, CVE-2018-14435, CVE-2018-14436, CVE-2018-14437, CVE-2018-14551, CVE-2018-14618, CVE-2018-15209, CVE-2018-16323, CVE-2018-16412, CVE-2018-16413, CVE-2018-16640, CVE-2018-16642, CVE-2018-16643, CVE-2018-16644, CVE-2018-16645, CVE-2018-16749, CVE-2018-16750, CVE-2018-16840, CVE-2018-16842, CVE-2018-18023, CVE-2018-18024, CVE-2018-18025, CVE-2018-18544 und CVE-2018-19132.
Oracle stellt mit einem Update des im Rahmen des am Oracle-Patchday im Oktober veröffentlichten 'Oracle Solaris Third Party Bulletin' Hinweise zu den Schwachstellen zur Verfügung, welche mit Oracle Solaris 11.4 Support Repository Update (SRU) 4 behoben wurden.
Schwachstellen:
CVE-2014-10070
Schwachstelle in Zsh ermöglicht PrivilegieneskalationCVE-2017-14245
Schwachstelle in libsndfile ermöglicht u. a. Denial-of-Service-AngriffCVE-2017-8816
Schwachstelle in cURL ermöglicht u. a. Denial-of-Service-AngriffCVE-2018-1000810
Schwachstelle in Rust ermöglicht u. a. Denial-of-Service-AngriffCVE-2018-16328
Schwachstelle in ImageMagick ermöglicht Denial-of-Service-AngriffCVE-2018-16839
Schwachstelle in libcurl ermöglicht u. a. Denial-of-Service-AngriffCVE-2018-18065
Schwachstelle in Net-SNMP ermöglicht Denial-of-Service-AngriffCVE-2018-19131
Schwachstelle in Squid ermöglicht Cross-Site-Scripting-AngriffCVE-2018-3187
Schwachstelle in Oracle MySQL Server ermöglicht u. a. Denial-of-Service-AngriffCVE-2018-5784
Schwachstelle in LibTIFF ermöglicht Denial-of-Service-AngriffCVE-2018-6188
Schwachstelle in Django ermöglicht Ausspähen von Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.