2020-1812: Oracle Solaris: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2020-08-19 14:39): Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Oracle
UNIX

Beschreibung:

Ein entfernter Angreifer, der in einigen Fällen über übliche oder erweiterte Rechte verfügen muss, kann beliebigen Programmcode zur Ausführung bringen, Denial-of-Service (DoS)-Angriffe durchführen, Cross-Site-Scripting (XSS)-Angriffe ausführen, falsche Informationen darstellen, Sicherheitsvorkehrungen umgehen, Informationen ausspähen, Dateien manipulieren und Benutzerrechte erlangen. Ein erfolgreicher Angriff bedarf in einigen Fällen der Interaktion eines Benutzers und hat in wenigen Fällen Auswirkungen auf andere Komponenten. Ein lokaler Angreifer mit meist üblichen Rechten kann Administratorrechte erlangen, seine Privilegien eskalieren und Denial-of-Service (DoS)-Angriffe durchführen. Ein erfolgreicher Angriff bedarf in einigen Fällen der Interaktion eines Benutzers und hat in einem Fall Auswirkungen auf andere Komponenten

Die Bewertung der Schwachstellen und die Auswirkung bei einer erfolgreichen Ausnutzung werden durch Oracle im Kontext von Solaris zum Teil anders bewertet als ursprünglich durch den Hersteller. Durch die Korrektur der teilweise exemplarisch für die Produkte referenzierten Schwachstellen adressiert Oracle jeweils weitere Schwachstellen.

Oracle veröffentlicht mit der Revision 2 des ursprünglich am Oracle-Patchday im Juli 2020 veröffentlichten 'Oracle Solaris Third Party Bulletin' Hinweise zu den Schwachstellen, welche mit Oracle Solaris 11.4 Support Repository Update (SRU) 24 behoben wurden.

Schwachstellen:

CVE-2019-1010180

Schwachstelle in GNU gdb ermöglicht u. a. Denial-of-Service-Angriff

CVE-2019-11291

Schwachstelle in RabbitMQ ermöglicht Cross-Site-Scripting-Angriff

CVE-2019-11358

Schwachstelle in jQuery ermöglicht Cross-Site-Scripting-Angriff

CVE-2019-11745

Schwachstelle in Network Security Services (NSS) ermöglicht Ausführung beliebigen Programmcodes mit Benutzerrechten

CVE-2019-14834

Schwachstelle in Dnsmasq ermöglicht Denial-of-Service-Angriff

CVE-2019-14855

Schwachstelle in GnuPG ermöglicht Darstellen falscher Informationen

CVE-2019-17040

Schwachstelle in Rsyslog ermöglicht Denial-of-Service-Angriff

CVE-2019-18348

Schwachstelle in Python ermöglicht CRLF-Injektion

CVE-2019-18634

Schwachstelle in sudo ermöglicht Erlangen von Administratorrechten

CVE-2019-20044

Schwachstelle in Zsh ermöglicht Privilegieneskalation

CVE-2019-20079

Schwachstelle in Vim ermöglicht u.a. Denial-of-Service-Angriff

CVE-2019-5068

Schwachstelle in X11 Mesa 3D Graphics Library ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2019-9232

Schwachstelle in Libvpx ermöglicht Ausspähen von Informationen

CVE-2020-10108

Schwachstelle in Twisted ermöglicht HTTP-Request-Splitting-Angriff

CVE-2020-10663

Schwachstelle in Ruby ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-11008

Schwachstelle in Git ermöglicht Erlangen von Benutzerrechten

CVE-2020-11022

Schwachstelle in jQuery ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-11736

Schwachstelle in File-Roller ermöglicht Directory-Traversal-Angriff

CVE-2020-11793

Schwachstelle in WebKitGTK ermöglicht u. a. Ausführung beliebigen Programmcodes

CVE-2020-11868

Schwachstelle in NTP ermöglicht Denial-of-Service-Angriff

CVE-2020-13630

Schwachstelle in SQLite ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2020-13645

Schwachstelle in GNOME glib-networking ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-1945

Schwachstelle in Apache Ant ermöglicht u. a. Manipulation von Dateien

CVE-2020-2780

Schwachstelle in Oracle MySQL Server ermöglicht Denial-of-Service-Angriff

CVE-2020-3895

Schwachstelle in WebKit ermöglicht Ausführung beliebigen Programmcodes

CVE-2020-3909

Schwachstelle in libxml2 ermöglicht u. a. Ausführung beliebigen Programmcodes

CVE-2020-5260