2020-1289: Oracle Solaris: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2020-06-17 14:34)

Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Oracle
UNIX

Beschreibung:

Mehrere Schwachstellen in von Oracle Solaris 10 und 11.4 genutzten Drittanbieter-Komponenten ermöglichen einem entfernten Angreifer das Ausführen beliebigen Programmcodes (Apache Tomcat, Firefox, Thunderbird, SQLite, Squid), das Ausspähen von Informationen (Apache HTTP Server), verschiedene Denial-of-Service (DoS)-Angriffe (ISC BIND, libexif, OpenLDAP, PHP, SQLite, Wireshark) und das Umgehen von Sicherheitsvorkehrungen (Firefox). Einige Schwachstellen erfordern die Interaktion eines Benutzers, um erfolgreich ausgenutzt zu werden und können Einfluss auf weitere Komponenten betroffener Systeme haben. Zur erfolgreichen Ausnutzung der Schwachstelle CVE-2020-9484 in Apache Tomcat sind Benutzerrechte nötig.

Die Bewertung der Schwachstellen und die Auswirkung bei einer erfolgreichen Ausnutzung werden durch Oracle im Kontext von Solaris zum Teil anders bewertet als ursprünglich durch den Hersteller.

Oracle veröffentlicht mit der Revision 3 des ursprünglich am Oracle-Patchday im April veröffentlichten 'Oracle Solaris Third Party Bulletin' Hinweise zu den Schwachstellen, die mit Oracle Solaris 11.4 Support Repository Update (SRU) 22 behoben wurden.

Schwachstellen:

CVE-2019-12519

Schwachstelle in Squid ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-11647

Schwachstelle in Wireshark ermöglicht Denial-of-Service-Angriff

CVE-2020-11656

Schwachstelle in SQLite ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-12243

Schwachstelle in OpenLDAP ermöglicht Denial-of-Service-Angriff

CVE-2020-12388

Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-12395

Schwachstellen in Mozilla Firefox, Firefox ESR und Thunderbird ermöglichen Ausführen beliebigen Programmcodes

CVE-2020-12767

Schwachstelle in libexif ermöglicht Denial-of-Service-Angriff

CVE-2020-13164

Schwachstelle in Wireshark ermöglicht Denial-of-Service-Angriff

CVE-2020-1934

Schwachstelle in Apache HTTP Server ermöglicht Ausspähen von Informationen

CVE-2020-6825

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-7065

Schwachstelle in PHP ermöglicht Denial-of-Service-Angriff

CVE-2020-8616

Schwachstelle in ISC BIND ermöglicht Denial-of-Service-Angriff

CVE-2020-9327

Schwachstelle in SQLite ermöglicht Denial-of-Service-Angriff

CVE-2020-9484

Schwachstelle in Apache Tomcat ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.