DFN-CERT

Advisory-Archiv

2021-0810: Oracle Solaris: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2021-04-21 13:22)
Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Oracle
UNIX

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen und Denial-of-Service (DoS)-Angriffe durchzuführen. Zudem kann ein Angreifer zwei Schwachstellen lokal ausnutzen, um beliebigen Programmcode auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers.

Die Bewertung der Schwachstellen und die Auswirkung bei einer erfolgreichen Ausnutzung werden durch Oracle im Kontext von Solaris zum Teil anders bewertet als ursprünglich durch den Hersteller.

Oracle stellt im Rahmen des am Patchtag im April 2021 veröffentlichten 'Oracle Solaris Third Party Bulletin' Hinweise zu den Schwachstellen zur Verfügung, die mit Oracle Solaris 11.4 Support Repository Update (SRU) 32 und Oracle Solaris 11.3 Limited Support Update (LSU) 36.25 behoben wurden.

Mit der Behebung einiger der Schwachstellen werden jeweils weitere Schwachstellen adressiert (siehe 'Notes').

Schwachstellen:

CVE-2018-7160

Schwachstelle in Node.js ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-9791

Schwachstelle in Mozilla Firefox und Thunderbird ermöglicht Denial-of-Service-Angriff

CVE-2020-13558

Schwachstelle in WebKitGTK ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-28948

Schwachstelle in PEAR Archive_Tar ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-35457

Schwachstelle in GNOME GLib ermöglicht u. a. Denial-of-Service-Angriff

CVE-2020-8265

Schwachstelle in Node.js ermöglicht Denial-of-Service-Angriff

CVE-2021-2001

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2021-2011

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2021-20215

Schwachstellen in Privoxy ermöglichen Denial-of-Service-Angriff

CVE-2021-20272

Schwachstelle in Privoxy ermöglicht Denial-of-Service-Angriff

CVE-2021-22173

Schwachstelle in Wireshark ermöglicht Denial-of-Service-Angriff

CVE-2021-22191

Schwachstelle in Wireshark ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-23336

Schwachstelle in Python ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-23987

Schwachstellen in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglichen Ausführen beliebigen Programmcodes

CVE-2021-25122

Schwachstelle in Apache Tomcat ermöglicht Ausspähen von Informationen

CVE-2021-27212

Schwachstelle in OpenLDAP ermöglicht Denial-of-Service-Angriff

CVE-2021-27218

Schwachstelle in GNOME GLib ermöglicht Denial-of-Service-Angriff

CVE-2021-3177

Schwachstelle in Python ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-3281

Schwachstelle in Django ermöglicht Directory-Traversal-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.