2020-0345: Oracle Solaris: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2020-02-20 16:10): Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Oracle
UNIX

Beschreibung:

Mehrere Schwachstellen in den von Oracle Solaris 11.4 genutzten Drittanbieterkomponenten procps und Apache Tomcat ermöglichen einem lokalen, sowohl nicht als auch in einem Fall einfach authentisierten Angreifer das Eskalieren von Privilegien (procps), das Ausführen beliebigen Programmcodes (procps) und das Ausspähen von Informationen (Apache Tomcat). Mehrere weitere Schwachstellen in Apache Tomcat, SQLite, npm, Mozilla Firefox, Firefox ESR, Mozilla Thunderbird, GNU Binutils und Wireshark ermöglichen einem entfernten, meist nicht authentisierten Angreifer das Ausführen beliebigen Programmcodes (Mozilla Firefox, Firefox ESR, Thunderbird, GNU Binutils), das Durchführen von Denial-of-Service (DoS)-Angriffen (Mozilla Firefox, Firefox ESR, Thunderbird, GNU Binutils, Wireshark), die Manipulation von Dateien (npm), das Ausspähen von Informationen (Mozilla Firefox, Firefox ESR, Thunderbird) und das Umgehen von Sicherheitsvorkehrungen (Apache Tomcat).

Die Bewertung der Schwachstellen und die Auswirkung bei einer erfolgreichen Ausnutzung werden durch Oracle im Kontext von Solaris zum Teil anders bewertet als ursprünglich durch den Hersteller. Durch die Korrektur der teilweise exemplarisch für die Produkte referenzierten Schwachstellen adressiert Oracle jeweils weitere Schwachstellen.

Oracle veröffentlicht mit der Revision 2 des ursprünglich am Oracle-Patchday im Januar veröffentlichten 'Oracle Solaris Third Party Bulletin' Hinweise zu den Schwachstellen, welche mit Oracle Solaris 11.4 Support Repository Update (SRU) 158 behoben wurden.

Schwachstellen:

CVE-2018-1122

Schwachstelle in procps ermöglicht Privilegieneskalation

CVE-2018-1124

Schwachstelle in procps ermöglicht Privilegieneskalation

CVE-2018-1126

Schwachstelle in procps ermöglicht Ausführen beliebigen Programmcodes

CVE-2019-12418

Schwachstelle in Apache Tomcat ermöglicht Ausspähen von Informationen

CVE-2019-16168

Schwachstelle in SQLite ermöglicht Denial-of-Service-Angriff

CVE-2019-16775

Schwachstelle in npm ermöglicht Manipulation von Dateien

CVE-2019-16776

Schwachstelle in npm ermöglicht u. a. Manipulation von Dateien

CVE-2019-16777

Schwachstelle in npm ermöglicht u. a. Manipulation von Dateien

CVE-2019-17015

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht u. a. Denial-of-Service-Angriff

CVE-2019-17016

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausspähen von Informationen

CVE-2019-17017

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht u. a. Denial-of-Service-Angriff

CVE-2019-17021

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausspähen von Informationen

CVE-2019-17022

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Cross-Site-Scripting-Angriff

CVE-2019-17024

Schwachstellen in Mozilla Firefox, Firefox ESR und Thunderbird ermöglichen Ausführung beliebigen Programmcodes

CVE-2019-17026

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausführung beliebigen Programmcodes