2021-0128: Oracle GraalVM: Mehrere Schwachstellen ermöglichen u. a. verschiedene Denial-of-Service-Angriffe

Historie:

Version 1 (2021-01-20 10:15)

Neues Advisory

Betroffene Software

Entwicklung
Virtualisierung

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen in den Komponenten Java und Node.js von GraalVM aus der Ferne ausnutzen, um Informationen auszuspähen sowie einen HTTP-Request-Smuggling-Angriff und verschiedene Denial-of-Service (DoS)-Angriffe durchzuführen.

Die Schwachstelle CVE-2020-14803 in der Komponente Java SE wurde bereits im Oktober vom Hersteller als behoben eingestuft. Im Kontext von Oracle GraalVM Enterprise Edition ist für eine erfolgreiche Ausnutzung der Schwachstelle eine Benutzerinteraktion notwendig. Ein erfolgreicher Angriff kann hier laut Hersteller Einfluss auf die Integrität betroffener Systeme haben.

Oracle veröffentlicht anlässlich des Patchtags im Januar 2021 Sicherheitsupdates zur Behebung der Schwachstellen in Oracle GraalVM Enterprise Edition 19.3.4 und 20.3.0. Als fehlerbereinigte Versionen werden GraalVM 19.3.5 und 20.3.1 angekündigt (Release Notes derzeit noch nicht veröffentlicht).

Schwachstellen:

CVE-2020-14803

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Ausspähen von Informationen

CVE-2020-1971

Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

CVE-2020-8265

Schwachstelle in Node.js ermöglicht Denial-of-Service-Angriff

CVE-2020-8277

Schwachstelle in c-ares ermöglicht Denial-of-Service-Angriff

CVE-2020-8287

Schwachstelle in Node.js ermöglicht HTTP-Request-Smuggling-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.