2019-1951: Oracle Solaris: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2019-09-18 17:39)

Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Oracle
UNIX

Beschreibung:

Es existieren mehrere Schwachstellen in den von Oracle Solaris 11.4 genutzten Drittanbieterkomponenten Elixir, TCPdump, ImageMagick, Network Security Services (NSS), BZip2, libxslt, GNU Wget und Ghostscript. Die Schwachstellen ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes, die Durchführung verschiedener Denial-of-Service (DoS)-Angriffe und das Ausspähen von Informationen.

Die Bewertung der Schwachstellen und die Auswirkung bei einer erfolgreichen Ausnutzung werden durch Oracle im Kontext von Solaris zum Teil anders bewertet als ursprünglich durch den Hersteller. Durch die Korrektur der teilweise exemplarisch für die Produkte referenzierten Schwachstellen adressiert Oracle jeweils weitere Schwachstellen.

Oracle veröffentlicht mit der Revision 3 des ursprünglich am Oracle-Patchday im Juli veröffentlichten 'Oracle Solaris Third Party Bulletin' Hinweise zu den Schwachstellen, die mit dem Oracle Solaris 11.4 Support Repository Update (SRU) 13 behoben werden.

Schwachstellen:

CVE-2019-1000012

Schwachstelle in Hex ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-1010220

Schwachstelle in tcpdump ermöglicht u. a. Ausspähen von Informationen

CVE-2019-11597

Schwachstelle in ImageMagick ermöglicht u. a. Denial-of-Service-Angriff

CVE-2019-11729

Schwachstelle in Mozilla Firefox, Firefox ESR, NSS und Thunderbird ermöglicht Denial-of-Service-Angriff

CVE-2019-12900

Schwachstelle in bzip2 ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-13117

Schwachstelle in libxslt ermöglicht Ausspähen von Informationen

CVE-2019-13454

Schwachstelle in ImageMagick ermöglicht Denial-of-Service-Angriff

CVE-2019-5953

Schwachstelle in GNU Wget ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2019-6116

Schwachstelle in Ghostscript ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.