2020-0550: Oracle Solaris: Mehrere Schwachstellen ermöglichen u. a. das Erlangen von Benutzerrechten

Historie:

Version 1 (2020-03-17 17:14)

Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Oracle
UNIX

Beschreibung:

Mehrere Schwachstellen in von Oracle Solaris 11.4 genutzten Drittanbieter omponenten ermöglichen einem entfernten Angreifer das Erlangen von Benutzerrechten (Django), die Durchführung von Denial-of-Service (DoS)-Angriffen (libarchive, ProFTPD, Python Pillow), die Ausführung beliebigen Programmcodes (Mozilla Firefox und Thunderbird, Python Pillow), einen Cross-Site-Scripting (XSS)-Angriff (Python), die Manipulation von Dateien (PHP, Git) und das Umgehen von Sicherheitsvorkehrungen (Twisted, Python).

Die Bewertung der Schwachstellen und die Auswirkung bei einer erfolgreichen Ausnutzung werden durch Oracle im Kontext von Solaris zum Teil anders bewertet als ursprünglich durch den Hersteller. Durch die Korrektur der teilweise exemplarisch für die Produkte referenzierten Schwachstellen adressiert Oracle jeweils weitere Schwachstellen.

Oracle veröffentlicht mit der Revision 3 des ursprünglich am Oracle-Patchday im Januar veröffentlichten 'Oracle Solaris Third Party Bulletin' Hinweise zu den Schwachstellen, welche mit Oracle Solaris 11.4 Support Repository Update (SRU) 19 behoben wurden.

Schwachstellen:

CVE-2019-11044

Schwachstelle in PHP ermöglicht Manipulation von Dateien

CVE-2019-12387

Schwachstelle in Twisted ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2019-1351

Schwachstelle in Git ermöglicht Manipulation von Dateien

CVE-2019-16056

Schwachstelle in Python ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2019-16201

Schwachstelle in Ruby ermöglicht Denial-of-Service-Angriff

CVE-2019-16865

Schwachstelle in Python Pillow ermöglicht Denial-of-Service-Angriff

CVE-2019-16935

Schwachstelle in Python ermöglicht Cross-Site-Scripting-Angriff

CVE-2019-18874

Schwachstelle in psutil ermöglicht Denial-of-Service-Angriff

CVE-2019-19221

Schwachstelle in libarchive ermöglicht Denial-of-Service-Angriff

CVE-2019-19269

Schwachstelle in ProFTPD ermöglicht Denial-of-Service-Angriff

CVE-2019-19844

Schwachstelle in Django ermöglicht Erlangen von Benutzerrechten

CVE-2020-5313

Schwachstelle in Python Pillow ermöglicht Ausführung beliebigen Programmcodes

CVE-2020-6800

Schwachstellen in Mozilla Firefox, Firefox ESR und Thunderbird ermöglichen Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.