2020-0782: Oracle Solaris: Mehrere Schwachstellen ermöglichen u. a. nicht spezifizierte Angriffe
Historie:
- Version 1 (2020-04-15 20:31)
- Neues Advisory
Betroffene Software
Systemsoftware
Betroffene Plattformen
Oracle
UNIX
Beschreibung:
Mehrere Schwachstellen in von Oracle Solaris 11.3 und 11.4 genutzten Drittanbieter-Komponenten ermöglichen einem entfernten Angreifer nicht näher spezifizierte Angriffe (tcpdump), das Durchführen von Denial-of-Service (DoS)-Angriffen (PHP, OpenJPEG, ISC BIND, Wireshark), das Ausführen beliebigen Programmcodes (Mozilla Firefox, ESR, Thunderbird), das Umgehen von Sicherheitsvorkehrungen (sudo), das Darstellen falscher Informationen (mod_auth_mellon), das Durchführen eines Server-Side-Request-Forgery-Angriffs (libpcap) und eines HTTP-Request-Smuggling-Angriffs (Apache Tomcat). Eine weitere Schwachstelle in libpcap ermöglicht einem lokalen Angreifer das Durchführen eines Denial-of-Service-Angriffs oder das Ausspähen von Informationen. Einige Schwachstellen erfordern die Interaktion eines Benutzers, um erfolgreich ausgenutzt zu werden.
Die Bewertung der Schwachstellen und die Auswirkung bei einer erfolgreichen Ausnutzung werden durch Oracle im Kontext von Solaris zum Teil anders bewertet als ursprünglich durch den Hersteller. Durch die Korrektur der teilweise exemplarisch für die Produkte referenzierten Schwachstellen adressiert Oracle jeweils weitere Schwachstellen.
Oracle stellt im Rahmen des Patchtag im April veröffentlichten 'Oracle Solaris Third Party Bulletin' Hinweise zu den Schwachstellen zur Verfügung, welche mit Oracle Solaris 11.4 Support Repository Update (SRU) 20 und Oracle Solaris 11.3 Limited Support Update (LSU) 36.20 behoben wurden.
Schwachstellen:
CVE-2018-10103
Schwachstelle in tcpdump ermöglicht nicht näher spezifizierte AngriffeCVE-2018-16301
Schwachstelle in libpcap ermöglicht u. a. Denial-of-Service-AngriffCVE-2019-13038
Schwachstelle in mod_auth_mellon ermöglicht Darstellen falscher InformationenCVE-2019-15164
Schwachstelle in libpcap ermöglicht Server-Side-Request-Forgery-AngriffCVE-2019-17569
Schwachstelle in Apache Tomcat ermöglicht HTTP-Request-Smuggling-AngriffCVE-2019-19232
Schwachstelle in sudo ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2019-6477
Schwachstelle in ISC BIND ermöglicht Denial-of-Service-AngriffCVE-2020-6814
Schwachstellen in Mozilla Firefox, Firefox ESR und Thunderbird ermöglichen Ausführung beliebigen ProgrammcodesCVE-2020-6851
Schwachstelle in OpenJPEG ermöglicht Denial-of-Service-AngriffCVE-2020-7061
Schwachstelle in PHP ermöglicht Denial-of-Service-AngriffCVE-2020-8112
Schwachstelle in OpenJPEG ermöglicht Denial-of-Service-AngriffCVE-2020-9428
Schwachstelle in Wireshark ermöglicht Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.