2021-0818: GraalVM: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2021-04-21 13:11): Neues Advisory

Betroffene Software

Entwicklung
Virtualisierung

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen in den Komponenten Node.js, OpenSSL und Java SE von GraalVM Enterprise Edition aus der Ferne ausnutzen, um Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen und Denial-of-Service (DoS)-Angriffe durchzuführen. Für die erfolgreiche Ausnutzung der Schwachstelle CVE-2021-2163 ist die Interaktion eines Benutzers erforderlich.

Oracle veröffentlicht anlässlich des Patchtags im April 2021 Sicherheitsupdates zur Behebung der Schwachstellen in Oracle GraalVM Enterprise Edition 19.3.5, 20.3.1.2 und 21.0.0.2. Als fehlerbereinigte Versionen werden GraalVM 19.3.6, 20.3.2 und 21.1.0 bereitgestellt.

Schwachstellen:

CVE-2020-7774

Schwachstelle in y18n ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-2161

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-2163

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-22883

Schwachstelle in Node.js ermöglicht Denial-of-Service-Angriff

CVE-2021-22884

Schwachstelle in Node.js ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-23839

Schwachstelle in OpenSSL ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-23840

Schwachstelle in OpenSSL ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-23841

Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

CVE-2021-3449