2019-0781: Oracle Solaris: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2019-04-17 18:18)

Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Oracle
UNIX

Beschreibung:

Mehrere Schwachstellen in den von Oracle Solaris 11.3 und Solaris 11.4 genutzten Drittanbieterkomponenten Apache HTTP Server, Artifex Ghostscript, ISC BIND, LibXML2, libxslt, Mozilla Firefox, MySQL, ncurses, NTP, OpenSSL, Perl und Wireshark ermöglichen einem in vielen Fällen entfernten, nicht authentisierten Angreifer das Ausführen beliebigen Programmcodes (libxslt, Artifex Ghostscript), verschiedene Denial-of-Service (DoS)-Angriffe (ncurses, Artifex Ghostscript, LibXML2, Apache HTTP Server, Perl, ISC BIND, Wireshark), das Ausspähen von Informationen (OpenSSL, Artifex Ghostscript, OpenSSL), die Darstellung falscher Informationen (Mozilla Firefox), eine Privilegieneskalation (ISC BIND) und die Manipulation von Uhren (NTP).

Die Bewertung der Schwachstellen und die Auswirkung bei einer erfolgreichen Ausnutzung werden durch Oracle im Kontext von Solaris zum Teil anders bewertet als ursprünglich durch den Hersteller. Durch die Korrektur der teilweise exemplarisch für die Produkte referenzierten Schwachstellen adressiert Oracle jeweils weitere Schwachstellen.

Oracle stellt im Rahmen des am Oracle-Patchday im April veröffentlichten 'Oracle Solaris Third Party Bulletin' Hinweise zu den Schwachstellen zur Verfügung, welche mit Oracle Solaris 11.4 Support Repository Update (SRU) 8 und Oracle Solaris 11.3 Limited Support Update (LSU) 36.10 behoben wurden. Mit einem Update des im Rahmen des am Oracle-Patchday im Januar veröffentlichten 'Oracle Solaris Third Party Bulletin' informiert der Hersteller darüber, dass die Schwachstellen CVE-2018-17183 und CVE-2018-15909 ebenfalls mit Solaris 11.3 LSU 36.10 behoben wurden, womit auch die Schwachstellen CVE-2018-17961, CVE-2018-18073 und CVE-2018-18284 adressiert werden.

Schwachstellen:

CVE-2015-7995

Schwachstelle in libxslt ermöglicht Ausführung beliebigen Programmcodes

CVE-2016-1549

Schwachstelle in NTP ermöglicht die Manipulation von Uhren

CVE-2017-16879

Schwachstelle in ncurses ermöglicht Denial-of-Service-Angriff

CVE-2018-0734

Schwachstelle in OpenSSL ermöglicht Ausspähen des privaten Schlüssels

CVE-2018-10194

Schwachstelle in Ghostscript ermöglicht u. a. Denial-of-Service-Angriff

CVE-2018-14404

Schwachstelle in LibXML2 ermöglicht Denial-of-Service-Angriff

CVE-2018-15909

Schwachstelle in Artifex Ghostscript ermöglicht u. a. Denial-of-Service-Angriff

CVE-2018-17183

Schwachstelle in Artifex Ghostscript ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-17189

Schwachstelle in Apache HTTP Server ermöglicht Denial-of-Service-Angriff

CVE-2018-18312

Schwachstelle in Perl ermöglicht u. a. Denial-of-Service-Angriff

CVE-2018-18506

Schwachstelle in Mozilla Firefox und Thunderbird ermöglicht Darstellung falscher Informationen

CVE-2018-5741

Schwachstelle in ISC BIND ermöglicht Privilegieneskalation

CVE-2018-5745

Schwachstelle in ISC BIND ermöglicht Denial-of-Service-Angriff

CVE-2019-1559

Schwachstelle in OpenSSL ermöglicht Ausspähen von Informationen

CVE-2019-9208

Schwachstelle in Wireshark ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.