2021-0612: Tails: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2021-03-24 17:37)

Neues Advisory

Betroffene Software

Sicherheit
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, Privilegien zu eskalieren, beliebigen Programmcode auszuführen, einen Cross-Site-Scripting (XSS)-Angriff durchzuführen, einen Denial-of-Service (DoS)-Angriff durchzuführen und falsche Informationen darzustellen. Ein Angreifer kann eine Schwachstelle im benachbarten Netzwerk ausnutzen, um Dateien zu manipulieren. Mehrere weitere Schwachstellen können lokal ausgenutzt werden, um Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Ein Angreifer mit physischem Zugriff auf ein betroffenes System kann eine Schwachstelle ausnutzen, um beliebigen Programmcode auszuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.

Das Tor-Projekt informiert über die Schwachstellen mit Verweisen auf Thunderbird 78.8.0, Tor Browser 10.0.14 (auf Basis von Firefox 78.9 ESR), Tor 0.4.5.7, GRUB 2.04-16 sowie eine Reihe von Debian Security Advisories und empfiehlt ein Update auf Tails 4.17, um die Schwachstellen zu beheben. Der Tor Browser 10.0.14 ist zum Zeitpunkt der Veröffentlichung des Sicherheitshinweises allerdings noch nicht verfügbar.

Schwachstellen:

CVE-2020-10713

Schwachstelle in GRUB ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2020-14308

Schwachstelle in GRUB ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2020-14309

Schwachstelle in GRUB ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2020-14310

Schwachstelle in GRUB ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2020-14311

Schwachstelle in GRUB ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2020-14372

Schwachstelle in GRUB ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2020-15157

Schwachstelle in Docker, containerd ermöglicht Ausspähen von Informationen

CVE-2020-15257

Schwachstelle in containerd ermöglicht Privilegieneskalation

CVE-2020-15706

Schwachstelle in GRUB ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2020-15707

Schwachstelle in GRUB ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2020-25632

Schwachstelle in GRUB ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2020-25647

Schwachstelle in GRUB ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2020-27749

Schwachstelle in GRUB ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2020-27779

Schwachstelle in GRUB ermöglicht u. a. Umgehen von Sicherheitsvorkehrungen

CVE-2020-35523

Schwachstelle in Bibliothek LibTIFF ermöglicht u. a. Denial-of-Service-Angriff

CVE-2020-35524

Schwachstelle in Bibliothek LibTIFF ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-20225

Schwachstelle in GRUB ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-20233

Schwachstelle in GRUB ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-20270

Schwachstelle in Python Pygments ermöglicht Denial-of-Service-Angriff

CVE-2021-21284

Schwachstelle in Docker ermöglicht u. a. Manipulation von Dateien

CVE-2021-21285

Schwachstelle in Docker ermöglicht Denial-of-Service-Angriff

CVE-2021-21330

Schwachstelle in AIOHTTP ermöglicht Open-Redirect-Angriff

CVE-2021-21381

Schwachstelle in Flatpak ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-22883

Schwachstelle in Node.js ermöglicht Denial-of-Service-Angriff

CVE-2021-22884

Schwachstelle in Node.js ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-23968

Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht Ausspähen von Informationen

CVE-2021-23969

Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht Ausspähen von Informationen

CVE-2021-23973

Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht Ausspähen von Informationen

CVE-2021-23978

Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-23981

Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglicht u. a. Ausspähen von Informationen

CVE-2021-23982

Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglicht Ausspähen von Informationen

CVE-2021-23984

Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglicht Darstellen falscher Informationen

CVE-2021-23987

Schwachstellen in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglichen Ausführen beliebigen Programmcodes

CVE-2021-28089

Schwachstelle in Tor ermöglicht Denial-of-Service-Angriff

CVE-2021-28090

Schwachstelle in Tor ermöglicht Denial-of-Service-Angriff

CVE-2021-28963

Schwachstelle in Shibboleth Service Provider (SP) ermöglicht Darstellen falscher Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.