2020-2303: Oracle Solaris: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2020-10-21 18:17)

Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Oracle
UNIX

Beschreibung:

Mehrere Schwachstellen in von Oracle Solaris 11.3 und 11.4 genutzten Drittanbieter-Komponenten ermöglichen einem entfernten Angreifer das Ausführen beliebigen Programmcodes (Node.js / International Components for Unicode (ICU), Firefox, Thunderbird, WebKitGTK), die Durchführung eines Denial-of-Service (DoS)-Angriffs (libcroco / GNU gettext, Squid) und das Umgehen von Sicherheitsvorkehrungen (Bubblewrap / WebKitGTK). Mehrere dieser Angriffe erfordern die Interaktion eines Benutzers, um erfolgreich zu sein.

Die Bewertung der Schwachstellen und die Auswirkung bei einer erfolgreichen Ausnutzung werden durch Oracle im Kontext von Solaris zum Teil anders bewertet als ursprünglich durch den Hersteller. Durch die Korrektur der teilweise exemplarisch für die Produkte referenzierten Schwachstellen adressiert Oracle jeweils weitere Schwachstellen.

Oracle stellt im Rahmen des am Patchtag im Oktober 2020 veröffentlichten 'Oracle Solaris Third Party Bulletin' Hinweise zu den Schwachstellen zur Verfügung, die mit Oracle Solaris 11.4 Support Repository Update (SRU) 26 und Oracle Solaris 11.3 Limited Support Update (LSU) 36.23 behoben wurden.

Schwachstellen:

CVE-2017-5226

Schwachstelle in Bubblewrap ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-10531

Schwachstelle in International Components for Unicode (ICU) ermöglicht Ausführung beliebigen Programmcodes

CVE-2020-12825

Schwachstelle in libcroco ermöglicht u. a. Denial-of-Service-Angriff

CVE-2020-15663

Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht Privilegieneskalation und Ausführen beliebigen Programmcodes

CVE-2020-24606

Schwachstelle in Squid ermöglicht Denial-of-Service-Angriff

CVE-2020-9862

Schwachstelle in WebKit Web Inspector ermöglicht Befehlsausführung

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.