2019-0112: Oracle Solaris: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2019-01-16 16:56)

Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Oracle
UNIX

Beschreibung:

Mehrere Schwachstellen in den von Oracle Solaris 11.3 und 11.4 genutzten Drittanbieterkomponenten Memcached, Poppler, OpenSSL, Apache HTTP-Server, Artifex Ghostscript, Wireshark, Oracle MySQL, Perl und QPDF sowie in der Implementierung von Simultaneous Multi-Threading (SMT) ermöglichen einem in vielen Fällen entfernten, nicht authentisierten Angreifer das Ausspähen von Informationen (SMT), das Ausspähen von privaten Schlüsseln (OpenSSL) und verschiedene Denial-of-Service (DoS)-Angriffe (Poppler, OpenSSL, Memcached, Apache HTTP-Server, Artifex Ghostscript, Wireshark, Oracle MaySQL, Perl, QPDF). Ein entfernter, nicht authentisierter Angreifer kann zudem aufgrund eines Ganzzahlüberlaufs (Memcached) bzw. manipulierter Fehlerbehandlung (Artifex Ghostscript) beliebigen Programmcode zur Ausführung bringen.

Die Bewertung der Schwachstellen und die Auswirkung bei einer erfolgreichen Ausnutzung werden durch Oracle im Kontext von Solaris zum Teil anders bewertet als ursprünglich durch den Hersteller. Durch die Korrektur der teilweise exemplarisch für die Produkte referenzierten Schwachstellen adressiert Oracle jeweils weitere Schwachstellen.

Oracle stellt mit einem Update des im Rahmen des am Oracle-Patchday im Januar veröffentlichten 'Oracle Solaris Third Party Bulletin' Hinweise zu den Schwachstellen zur Verfügung, welche mit Oracle Solaris 11.4 Support Repository Update (SRU) 5 und Oracle Solaris 11.3 Limited Support Update (LSU) 36.7 behoben wurden.

Schwachstellen:

CVE-2016-8705

Schwachstelle in Memcached ermöglicht Ausführen beliebigen Programmcodes

CVE-2017-1000456

Schwachstelle in Poppler ermöglicht Denial-of-Service-Angriff

CVE-2017-14517

Schwachstelle in Poppler ermöglicht Denial-of-Service-Angriff

CVE-2017-18267

Schwachstelle in Poppler ermöglicht Denial-of-Service-Angriff

CVE-2018-0734

Schwachstelle in OpenSSL ermöglicht Ausspähen des privaten Schlüssels

CVE-2018-0739

Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

CVE-2018-1000115

Schwachstelle in memcached ermöglicht Denial-of-Service-Angriff

CVE-2018-11763

Schwachstelle in Apache HTTP-Server (httpd) ermöglicht Denial-of-Service-Angriff

CVE-2018-13988

Schwachstelle in Poppler ermöglicht Denial-of-Service-Angriff

CVE-2018-15909

Schwachstelle in Artifex Ghostscript ermöglicht u. a. Denial-of-Service-Angriff

CVE-2018-17183

Schwachstelle in Artifex Ghostscript ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-19628

Schwachstelle in Wireshark ermöglicht Denial-of-Service-Angriff

CVE-2018-3070

Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-Angriff

CVE-2018-3247

Schwachstelle in Oracle MySQL Server ermöglicht u. a. Denial-of-Service-Angriff

CVE-2018-3282

Schwachstelle in Oracle MySQL Server / MariaDB ermöglicht Denial-of-Service-Angriff

CVE-2018-5407

Schwachstelle in Simultaneous Multi-Threading (SMT) ermöglicht Ausspähen von Informationen

CVE-2018-6913

Schwachstelle in Perl ermöglicht u. a. Denial-of-Service-Angriff

CVE-2018-9918

Schwachstelle in QPDF ermöglicht u. a. Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.