2021-0002: Oracle Solaris: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2021-01-04 16:44)
- Neues Advisory
Betroffene Software
Systemsoftware
Betroffene Plattformen
Oracle
UNIX
Beschreibung:
Ein Angreifer mit niedrigen Privilegien kann eine Schwachstelle aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen. Die erfolgreiche Ausnutzung der Schwachstelle kann Einfluss auf andere Komponenten haben. Zudem kann ein Angreifer mehrere Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen, einen Denial-of-Service (DoS)-Angriff durchzuführen und Informationen auszuspähen. Für die Ausnutzung dieser Schwachstellen sind keine Privilegien erforderlich. Die Schwachstellen erfordern die Interaktion eines Benutzers. Ein Angreifer kann mehrere weitere Schwachstellen aus der Ferne ausnutzen, um Sicherheitsvorkehrungen zu umgehen, die komplette Kompromittierung der Software zu erreichen, einen Denial-of-Service (DoS)-Angriff durchzuführen und falsche Informationen darzustellen. Eine Schwachstelle kann im benachbarten Netzwerk ausgenutzt werden, um einen Denial-of-Service (DoS)-Angriff durchzuführen. Und ein Angreifer kann eine Schwachstelle lokal ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen. Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich.
Die Bewertung der Schwachstellen und die Auswirkung bei einer erfolgreichen Ausnutzung werden durch Oracle im Kontext von Solaris zum Teil anders bewertet als ursprünglich durch den Hersteller. Durch die Korrektur der teilweise exemplarisch für die Produkte referenzierten Schwachstellen adressiert Oracle jeweils weitere Schwachstellen.
Oracle veröffentlicht mit der Revision 3 des ursprünglich am Oracle-Patchday im Dezember 2020 veröffentlichten 'Oracle Solaris Third Party Bulletin' Hinweise zu den Schwachstellen, welche mit Oracle Solaris 11.4 Support Repository Update (SRU) 28 behoben werden.
Schwachstellen:
CVE-2019-20919
Schwachstelle in perl-dbi ermöglicht Denial-of-Service-AngriffCVE-2020-14765
Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-AngriffCVE-2020-14878
Schwachstelle in Oracle MySQL ermöglicht komplette Kompromittierung der SoftwareCVE-2020-15683
Schwachstellen in Firefox, Firefox ESR und Thunderbird ermöglichen Ausführen beliebigen ProgrammcodesCVE-2020-15999
Schwachstelle in FreeType ermöglicht u. a. Denial-of-Service-AngriffCVE-2020-16012
Schwachstelle in Skia ermöglicht Ausspähen von InformationenCVE-2020-24659
Schwachstelle in GnuTLS ermöglicht Denial-of-Service-AngriffCVE-2020-25613
Schwachstelle in WEBrick / Ruby ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2020-26116
Schwachstelle in Python ermöglicht Darstellen falscher InformationenCVE-2020-26159
Schwachstelle in Oniguruma ermöglicht Denial-of-Service-AngriffCVE-2020-26575
Schwachstelle in Wireshark ermöglicht Denial-of-Service-AngriffCVE-2020-27347
Schwachstelle in tmux ermöglicht Ausführen beliebigen ProgrammcodesCVE-2020-7069
Schwachstelle in PHP ermöglicht Umgehen von Sicherheitsvorkehrungen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.