2021-1549: Oracle Solaris: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2021-07-21 19:27)
- Neues Advisory
Betroffene Software
Systemsoftware
Betroffene Plattformen
Oracle
UNIX
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen, Dateien zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen und verschiedene Denial-of-Service (DoS)-Angriffe durchzuführen. Ein Angreifer ohne oder mit niedrigen Privilegien kann mehrere weitere Schwachstellen lokal ausnutzen, um Informationen auszuspähen, Daten zu manipuliern, Privilegien zu eskalieren und einen Denial-of-Service (DoS)-Angriff durchzuführen. Zwei Schwachstellen erfordern die Interaktion eines Benutzers.
Die Bewertung der Schwachstellen und die Auswirkung bei einer erfolgreichen Ausnutzung werden durch Oracle im Kontext von Solaris zum Teil anders bewertet als ursprünglich durch den Hersteller.
Oracle stellt im Rahmen des am Patchtag im Juli 2021 veröffentlichten 'Oracle Solaris Third Party Bulletin' Hinweise zu den Schwachstellen, die mit Oracle Solaris 11.4 Support Repository Update (SRU) 35 und Oracle Solaris 11.3 Extended Support Update (ESU) 32.26 behoben wurden, zur Verfügung.
Mit der Behebung einiger der Schwachstellen werden jeweils weitere Schwachstellen adressiert (siehe 'Notes').
Schwachstellen:
CVE-2020-14387
Schwachstelle in rsync ermöglicht u. a. Manipulation von DateienCVE-2020-18032
Schwachstelle in Graphviz ermöglicht u. a. Ausführen beliebigen ProgrammcodesCVE-2021-20240
Schwachstelle in GDK-PixBuf ermöglicht u. a. Denial-of-Service-AngriffCVE-2021-20270
Schwachstelle in Python Pygments ermöglicht Denial-of-Service-AngriffCVE-2021-2307
Schwachstelle in Oracle MySQL ermöglicht u. a. Ausspähen von InformationenCVE-2021-27291
Schwachstelle in Python Pygments ermöglicht Denial-of-Service-AngriffCVE-2021-28965
Schwachstelle in RubyGem REXML ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2021-29967
Schwachstellen in Mozilla Firefox und Mozilla Firefox ESR ermöglichen Ausführen beliebigen ProgrammcodesCVE-2021-31618
Schwachstelle in Apache HTTP-Server ermöglicht Denial-of-Service-AngriffCVE-2021-32052
Schwachstelle in Django / Python ermöglicht u. a. Manipulation von DateienCVE-2021-32055
Schwachstelle in Mutt / NeoMutt ermöglicht u. a. Denial-of-Service-AngriffCVE-2021-33203
Schwachstelle in Django ermöglicht Ausspähen von InformationenCVE-2021-3449
Schwachstelle in OpenSSL ermöglicht Denial-of-Service-AngriffCVE-2021-3450
Schwachstelle in OpenSSL ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2021-3468
Schwachstelle in Avahi ermöglicht Denial-of-Service-AngriffCVE-2021-3472
Schwachstelle in X.Org Server ermöglicht PrivilegieneskalationCVE-2021-3520
Schwachstelle in LZ4 ermöglicht u. a. Denial-of-Service-AngriffCVE-2021-3560
Schwachstelle in Polkit ermöglicht Privilegieneskalation
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.