2019-2157: Oracle Sun Systems, Oracle Solaris: Mehrere Schwachstellen ermöglichen u. a. die komplette Systemübernahme
Historie:
- Version 1 (2019-10-16 17:44)
- Neues Advisory
Betroffene Software
Systemsoftware
Betroffene Plattformen
Hardware
Oracle
UNIX
Beschreibung:
Eine Schwachstelle in Fujitsu M10-1, M10-4, M10-4S, M12-1, M12-2, M12-2S Servern in der XCP Firmware (cURL) ermöglicht einem entfernten, nicht authentisierten Angreifer die komplette Übernahme der betroffenen Server. Ein lokaler, einfach authentisierter Angreifer kann zwei weitere Schwachstellen in obigen Fujitsu Servern in der XCP Firmware (USB Driver) bzw. in Oracle Solaris (Subkomponente: XScreenSaver) ausnutzen, um betroffene Server zu übernehmen. Weitere Schwachstellen in der XCP Firmware für jene Fujitsu Server sowie in verschiedenen Subkomponenten von Oracle Solaris und den eingesetzten Softwarepaketen glibc, cURL, NTP, Net SNMP, OpenSSL, OpenSSH und NSS ermöglichen teilweise entfernten, auch nicht authentisierten Angreifern das Ausspähen von Informationen, die Manipulation von Daten und die Durchführung von Denial-of-Service (DoS)-Angriffen.
Neben den explizit von Oracle erläuterten Schwachstellen, wurden mit den verfügbaren Sicherheitsupdates weitere Schwachstellen behoben. Der Patch für CVE-2017-17558 adressiert auch die Schwachstelle CVE-2017-16531, der Patch für CVE-2018-0732 adressiert auch die Schwachstellen CVE-2016-8610 und CVE-2019-1559, der Patch für CVE-2018-1000007 adressiert auch die Schwachstellen CVE-2018-1000120 und CVE-2018-16842, der Patch für CVE-2018-12404 adressiert auch die Schwachstelle CVE-2018-12384, der Patch für CVE-2018-18066 adressiert auch die Schwachstelle CVE-2018-18065 und der Patch für CVE-2019-6109 adressiert auch die Schwachstellen CVE-2018-20685 und CVE-2019-6111.
Oracle stellt am regulären Patchtag Sicherheitsupdates zur Behebung der Schwachstellen in Komponenten der Oracle Sun Systems Products Suite zur Verfügung und informiert in einem gesonderten Sicherheitshinweis über mit den aktuellen Releases Solaris 11.3 LSU 36.15 und Solaris 11.4 SRU 14 behobene Schwachstellen in Komponenten von Drittanbietern. Dafür wird ein eigenes Advisory veröffentlicht.
Schwachstellen:
CVE-2015-5180
Schwachstelle in GNU Lib C ermöglicht Denial-of-Service-AngriffCVE-2016-8610
Schwachstelle in OpenSSL / GnuTLS ermöglicht Denial-of-Service-AngriffCVE-2017-16531
Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-AngriffCVE-2017-17558
Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-AngriffCVE-2018-0732
Schwachstelle in OpenSSL ermöglicht Denial-of-Service-AngriffCVE-2018-1000007
Schwachstelle in cURL ermöglicht u. a. Ausspähen sensibler InformationenCVE-2018-1000120
Schwachstelle in cURL ermöglicht Denial-of-Service-AngriffCVE-2018-12384
Schwachstelle in Network Security Services (NSS) ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2018-12404
Schwachstelle in Network Security Services (NSS) ermöglicht Ausspähen des Klartextes verschlüsselter InformationenCVE-2018-16842
Schwachstelle in cURL ermöglicht Ausspähen von Informationen und Denial-of-Service-AngriffCVE-2018-18065
Schwachstelle in Net-SNMP ermöglicht Denial-of-Service-AngriffCVE-2018-18066
Schwachstelle in Net-SNMP ermöglicht Denial-of-Service-AngriffCVE-2018-20685
Schwachstelle in OpenSSH ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2018-7185
Schwachstelle in NTP ermöglicht Denial-of-Service-AngriffCVE-2019-1559
Schwachstelle in OpenSSL ermöglicht Ausspähen von InformationenCVE-2019-2765
Schwachstelle in Oracle Solaris ermöglicht u. a. Manipulation von DatenCVE-2019-2961
Schwachstelle in Oracle Solaris ermöglicht Manipulation von Daten und Denial-of-Service-AngriffCVE-2019-3008
Schwachstelle in Oracle Solaris ermöglicht Denial-of-Service-AngriffCVE-2019-3010
Schwachstelle in Oracle Solaris ermöglicht Übernahme des SystemsCVE-2019-6109
Schwachstelle in OpenSSH ermöglicht Darstellen falscher InformationenCVE-2019-6111
Schwachstelle in OpenSSH ermöglicht Manipulation von Dateien
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.