2020-1533: Oracle Solaris: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2020-07-15 15:09)

Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Oracle
UNIX

Beschreibung:

Mehrere Schwachstellen in von Oracle Solaris 11.3 und 11.4 genutzten Drittanbieter-Komponenten ermöglichen einem entfernten Angreifer das Ausführen beliebigen Programmcodes (PyYAML), das Darstellen falscher Informationen (GNU Mailman), das Umgehen von Sicherheitsvorkehrungen (Thunderbird) und das Durchführen eines Cross-Site-Scripting (XSS)-Angriffs (GNU Mailman). Mehrere dieser Angriffe erfordern die Interaktion eines Benutzers und einer der Angriffe kann zusätzlich Einfluss auf weitere Komponenten betroffener Systeme haben. Zwei weitere Schwachstellen ermöglichen das Durchführen eins Denial-of-Service (DoS)-Angriffs (JSON-C) und das Darstellen falscher Informationen (Mozilla Firefox, Firefox ESR, Thunderbird, Network Security Services) einem lokalen Angreifer. Beide Angriffe erfordern die Interaktion eines Benutzers.

Die Bewertung der Schwachstellen und die Auswirkung bei einer erfolgreichen Ausnutzung werden durch Oracle im Kontext von Solaris zum Teil anders bewertet als ursprünglich durch den Hersteller. Durch die Korrektur der teilweise exemplarisch für die Produkte referenzierten Schwachstellen adressiert Oracle jeweils weitere Schwachstellen.

Oracle stellt im Rahmen des am Patchtag im Juli 2020 veröffentlichten 'Oracle Solaris Third Party Bulletin' Hinweise zu den Schwachstellen zur Verfügung, die mit Oracle Solaris 11.4 Support Repository Update (SRU) 23 und Oracle Solaris 11.3 Limited Support Update (LSU) 36.21 behoben wurden.

Schwachstellen:

CVE-2018-13796

Schwachstelle in GNU Mailman ermöglicht Darstellen falscher Informationen

CVE-2020-12108

Schwachstelle in GNU Mailman ermöglicht das Darstellen falscher Informationen

CVE-2020-12137

Schwachstelle in GNU Mailman ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-12398

Schwachstelle in Thunderbird ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-12399

Schwachstelle in Mozilla Firefox, Firefox ESR, Thunderbird und Network Security Services (NSS) ermöglicht Ausspähen von Informationen

CVE-2020-12762

Schwachstelle in JSON-C ermöglicht Denial-of-Service-Angriff

CVE-2020-1747

Schwachstelle in PyYAML ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.