2020-1529: Oracle GraalVM: Mehrere Schwachstellen ermöglichen u. a. einen Man-in-the-Middle-Angriff
Historie:
- Version 1 (2020-07-15 14:16)
- Neues Advisory
Betroffene Software
Entwicklung
Virtualisierung
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Zwei Schwachstellen in der Komponente Apache NetBeans von Oracle GraalVM ermöglichen einem entfernten Angreifer die Manipulation von Aktualisierungsdateien und dadurch die automatische Prozessierung beliebigen Programmcodes. Eine dieser Schwachstellen basiert auf einem möglichen Man-in-the-Middle (MitM)-Angriff. Zwei weitere Schwachstellen in der Komponente Node.js ermöglichen dem Angreifer einen Denial-of-Service (DoS)-Angriff und das Umgehen von Sicherheitsvorkehrungen. Darüber hinaus kann der Angreifer eine Schwachstelle in Oracle Java SE ausnutzen, um die Software vollständig zu kompromittieren, wenn er einen Benutzer zu einer Interaktion verleiten kann. Eine weitere Schwachstelle ermöglicht einem entfernten Angreifer mit erweiterten Privilegien ebenfalls die vollständige Kompromittierung der Software.
Oracle veröffentlicht anlässlich des Patchtages im Juli 2020 Sicherheitsupdates zur Behebung der Schwachstellen in Oracle GraalVM Enterprise Edition 19.3.2 und 20.1.0. Als fehlerbereinigte Versionen werden 19.3.3 und 20.1.1 angekündigt.
Schwachstellen:
CVE-2019-17560
Schwachstelle in Apache NetBeans ermöglicht Man-in-the-Middle-AngriffCVE-2019-17561
Schwachstelle in Apache NetBeans ermöglicht Manipulation von DateienCVE-2020-11080
Schwachstelle in Node.js ermöglicht Denial-of-Service-AngriffCVE-2020-14583
Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht komplette Kompromittierung der SoftwareCVE-2020-14718
Schwachstelle in Oracle GraalVM ermöglicht komplette Kompromittierung der SoftwareCVE-2020-8172
Schwachstelle in Node.js ermöglicht Umgehen von Sicherheitsvorkehrungen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.