DFN-CERT

Advisory-Archiv

2020-0102: Oracle Systems, Oracle Solaris: Mehrere Schwachstellen ermöglichen u. a. die komplette Systemübernahme

Historie:

Version 1 (2020-01-15 18:34)
Neues Advisory

Betroffene Software

Datensicherung
Systemsoftware
Virtualisierung

Betroffene Plattformen

Oracle
UNIX

Beschreibung:

Mehrere Schwachstellen in den Komponenten von Oracle Systems ermöglichen einem entfernten, nicht authentisierten Angreifer die komplette Übernahme der Produkte Sun ZFS Storage Appliance Kit und Tape Library ACSLS. Ein lokaler, einfach authentisierter Angreifer kann weitere Schwachstellen in verschiedenen Subkomponenten von Oracle Systems ausnutzen, um Oracle Solaris zu übernehmen. Weitere Schwachstellen ermöglichen teilweise entfernten, auch nicht authentisierten Angreifern das Ausspähen von Informationen, die Manipulation von Daten und die Durchführung von Denial-of-Service (DoS)-Angriffen.

Oracle stellt am regulären Patchtag im Januar 2020 Sicherheitsupdates zur Behebung der Schwachstellen in Komponenten der Oracle Sun Systems Products Suite zur Verfügung und informiert in einem gesonderten Sicherheitshinweis über mit dem aktuellen Release Solaris 11.4 SRU 17 behobene Schwachstellen in Komponenten von Drittanbietern. Dafür wird ein eigenes Advisory veröffentlicht.

Neben den explizit von Oracle erläuterten Schwachstellen, werden mit den verfügbaren Sicherheitsupdates weitere Schwachstellen behoben. Der Patch für CVE-2019-11358 adressiert auch CVE-2015-9251 und der Patch für CVE-2019-9636 adressiert außerdem CVE-2017-15906, CVE-2018-1000030, CVE-2018-1060, CVE-2018-11759, CVE-2018-15473, CVE-2018-17189, CVE-2018-20684, CVE-2019-0215, CVE-2019-1559, CVE-2019-5718 und CVE-2019-9208.

Schwachstellen:

CVE-2016-1000031

Schwachstelle in Apache Commons FileUpload ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-15756

Schwachstelle in Spring Framework ermöglicht Denial-of-Service-Angriff

CVE-2019-11358

Schwachstelle in jQuery ermöglicht Cross-Site-Scripting-Angriff

CVE-2019-2725

Schwachstelle in Oracle WebLogic Server ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-2729

Schwachstelle in Oracle WebLogic Server ermöglicht Übernahme der Komponente

CVE-2019-9579

Schwachstelle in Oracle Systems ermöglicht die Manipulation von Daten

CVE-2019-9636

Schwachstelle in Python ermöglicht Ausspähen von Informationen

CVE-2020-2558 CVE-2020-2578

Schwachstellen in Oracle Systems ermöglichen Denial-of-Service-Angriffe

CVE-2020-2565

Schwachstelle in Oracle Systems ermöglicht komplette Kompromittierung der Software

CVE-2020-2571

Schwachstelle in Oracle Systems ermöglicht die Manipulation von Daten

CVE-2020-2605

Schwachstelle in Oracle Systems ermöglicht u. a. Denial-of-Service-Angriff

CVE-2020-2647

Schwachstelle in Oracle Systems ermöglicht Denial-of-Service-Angriff

CVE-2020-2656

Schwachstelle in Oracle Systems ermöglicht u. a. die Manipulation von Daten

CVE-2020-2664

Schwachstelle in Oracle Systems ermöglicht u. a. die Manipulation von Daten

CVE-2020-2680

Schwachstelle in Oracle Systems ermöglicht Denial-of-Service-Angriff

CVE-2020-2696

Schwachstelle in Oracle Systems ermöglicht komplette Kompromittierung der Software

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.