2021-0444: Oracle Solaris: Mehrere Schwachstellen ermöglichen u. a. das Erlangen von Administratorrechten

Historie:

Version 1 (2021-03-01 16:57)

Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Oracle
UNIX

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Administratorrechte zu erlangen, Dateien zu manipulieren, einen Directory-Traversal-Angriff durchzuführen, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen, einen Denial-of-Service (DoS)-Angriff durchzuführen und falsche Informationen darzustellen. Zudem kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um Privilegien zu eskalieren, beliebigen Programmcode auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.

Die Bewertung der Schwachstellen und die Auswirkung bei einer erfolgreichen Ausnutzung werden durch Oracle im Kontext von Solaris zum Teil anders bewertet als ursprünglich durch den Hersteller.

Oracle veröffentlicht mit der Revision 3 des ursprünglich am Oracle-Patchday im Januar 2021 veröffentlichten 'Oracle Solaris Third Party Bulletin' Hinweise zu Schwachstellen, welche mit Solaris 11.4 SRU 30 behoben werden.

Schwachstellen:

CVE-2018-21232

Schwachstelle in re2c ermöglicht Denial-of-Service-Angriff

CVE-2019-20916

Schwachstelle in python-pip ermöglicht Directory-Traversal-Angriff

CVE-2019-7317

Schwachstelle in Mozilla Firefox und Thunderbird / AWT (libpng) ermöglicht u. a. Denial-of-Service-Angriff

CVE-2019-9904

Schwachstelle in graphviz ermöglicht Denial-of-Service-Angriff

CVE-2020-11979

Schwachstelle in Apache Ant ermöglicht Manipulation von Dateien

CVE-2020-12695

Schwachstelle in UPnP-Protokoll ermöglicht u. a. Ausspähen von Informationen

CVE-2020-13543

Schwachstelle in WebKit ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-14318

Schwachstelle in Samba ermöglicht Ausspähen von Informationen

CVE-2020-14323

Schwachstelle in Samba ermöglicht Denial-of-Service-Angriff

CVE-2020-14360

Schwachstelle in X.Org X11-Server ermöglicht Privilegieneskalation

CVE-2020-1472

Schwachstelle in NetLogon ermöglicht Erlangen von Administratorrechten

CVE-2020-15900

Schwachstelle in Artifex Ghostscript ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-1967

Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

CVE-2020-24977

Schwachstelle in LibXML2 ermöglicht Denial-of-Service-Angriff

CVE-2020-25692

Schwachstelle in OpenLDAP ermöglicht Denial-of-Service-Angriff

CVE-2020-26117

Schwachstelle in TigerVNC ermöglicht Darstellen falscher Informationen

CVE-2020-26418

Schwachstelle in Wireshark ermöglicht Denial-of-Service-Angriff

CVE-2020-26971

Schwachstelle in WebGL ermöglicht Denial-of-Service-Angriff

CVE-2020-27619

Schwachstelle in Python ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-28896

Schwachstelle in Mutt / NeoMutt ermöglicht Ausspähen von Informationen

CVE-2020-29385

Schwachstelle in GDK-PixBuf ermöglicht Denial-of-Service-Angriff

CVE-2020-3299

Schwachstelle in Snort ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-8037

Schwachstelle in tcpdump ermöglicht Denial-of-Service-Angriff

CVE-2020-8252

Schwachstelle in libuv ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-8277

Schwachstelle in c-ares ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.