2020-0778: Oracle GraalVM: Mehrere Schwachstellen ermöglichen u. a. die vollständige Kompromittierung der Software

Historie:

Version 1 (2020-04-15 17:25)

Neues Advisory

Betroffene Software

Entwicklung
Virtualisierung

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Zwei Schwachstellen in Oracle GraalVM Enterprise bzw. den dort eingesetzten Komponenten JavaScript (Node.js) und Oracle Java ermöglichen einem entfernten Angreifer die komplette Kompromittierung der Software. Ein erfolgreicher Angriff erfordert in einem Fall die Interaktion eines Benutzers. Weitere Schwachstellen ermöglichen einem entfernten Angreifer mit üblichen Benutzerrechten die Durchführung eines Denial-of-Service (DoS)-Angriffs sowie die Manipulation und das Ausspähen von Daten. Eine Schwachstelle erfordert die Interaktion eines Benutzers und in zwei Fällen kann ein erfolgreicher Angriff Einfluss auf andere Komponenten betroffener Systeme haben.

Oracle veröffentlicht anlässlich des Patchtages im April 2020 ein Sicherheitsupdate zur Behebung der Schwachstellen in Oracle GraalVM Enterprise Edition 19.3.1 und 20.0.0.

Schwachstellen:

CVE-2019-15606

Schwachstelle in Node.js ermöglicht HTTP-Request-Smuggling-Angriff

CVE-2020-2799

Schwachstelle in Oracle GraalVM ermöglicht Manipulation von Daten

CVE-2020-2802

Schwachstelle in Oracle GraalVM ermöglicht Denial-of-Service-Angriff

CVE-2020-2803

Schwachstelle in Oracle Java SE ermöglicht komplette Kompromittierung der Software

CVE-2020-2900

Schwachstelle in Oracle GraalVM ermöglicht Manipulation und Ausspähen von Daten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.