2020-0097: Oracle GraalVM: Mehrere Schwachstellen ermöglichen u. a. die vollständige Kompromittierung der Software
Historie:
- Version 1 (2020-01-15 14:46)
- Neues Advisory
Betroffene Software
Entwicklung
Virtualisierung
Betroffene Plattformen
Apple
Linux
Beschreibung:
Mehrere Schwachstellen in Oracle GraalVM Enterprise bzw. den dort eingesetzten Komponenten Oracle Java SE, npm und Ruby ermöglichen einem entfernten, nicht oder einfach authentisierten Angreifer die vollständige Kompromittierung der betroffenen Software, die Manipulation von Daten, das Ausspähen von Informationen und einen Denial-of-Service (DoS)-Angriff. Ein lokaler, nicht authentisierter Angreifer kann zwei weitere Schwachstellen ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen und beliebigen Programmcode zur Ausführung zu bringen.
Oracle veröffentlicht anlässlich des Patchtags im Januar 2020 ein Sicherheitsupdate zur Behebung der Schwachstellen in Oracle GraalVM Enterprise Edition 19.3.0.2.
Schwachstellen:
CVE-2019-15845
Schwachstelle in Ruby ermöglicht Ausführen beliebigen ProgrammcodesCVE-2019-16201
Schwachstelle in Ruby ermöglicht Denial-of-Service-AngriffCVE-2019-16254
Schwachstelle in Ruby ermöglicht Darstellen falscher InformationenCVE-2019-16255
Schwachstelle in Ruby ermöglicht Ausführen beliebigen ProgrammcodesCVE-2019-16775
Schwachstelle in npm ermöglicht Manipulation von DateienCVE-2019-16776
Schwachstelle in npm ermöglicht u. a. Manipulation von DateienCVE-2019-16777
Schwachstelle in npm ermöglicht u. a. Manipulation von DateienCVE-2020-2581
Schwachstelle in Oracle GraalVM Enterprise ermöglicht Denial-of-Service-AngriffCVE-2020-2595
Schwachstelle in Oracle GraalVM Enterprise ermöglicht Ausspähen von InformationenCVE-2020-2604
Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht komplette Kompromittierung der Software
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.