2021-1930: Oracle Solaris: Mehrere Schwachstellen ermöglichen u. a. Denial-of-Service-Angriffe

Historie:

Version 1 (2021-09-15 13:02)

Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Oracle
UNIX

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Denial-of-Service (DoS)-Angriffe durchzuführen, beliebigen Programmcode auszuführen, Benutzerrechte zu erlangen, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, SQL-Programmcode zu injizieren und einen Cross-Site-Scripting (XSS)-Angriff durchzuführen. Zudem kann ein Angreifer mehrere weitere Schwachstellen lokal ausnutzen, um Informationen auszuspähen und Denial-of-Service (DoS)-Angriffe durchzuführen.

Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers.

Die Bewertung der Schwachstellen und die Auswirkung bei einer erfolgreichen Ausnutzung werden durch Oracle im Kontext von Solaris zum Teil anders bewertet als ursprünglich durch den Hersteller.

Oracle veröffentlicht mit der Revision 3 des ursprünglich am Oracle-Patchday im Juli 2021 veröffentlichten 'Oracle Solaris Third Party Bulletin' Hinweise zu den Schwachstellen, die mit Oracle Solaris 11.4 Support Repository Update (SRU) 37 behoben wurden.

Für Ruby und ImageMagick wird hier jeweils nur eine Schwachstelle stellvertretend aufgeführt.

Schwachstellen:

CVE-2019-11038

Schwachstelle in PHP ermöglicht Ausspähen von Informationen

CVE-2019-25051

Schwachstelle in GNU Aspell ermöglicht Denial-of-Service-Angriff

CVE-2021-20243

Schwachstelle in ImageMagick ermöglicht Denial-of-Service-Angriff

CVE-2021-28091

Schwachstelle in Lasso SAML Implementation ermöglicht Erlangen von Benutzerrechten

CVE-2021-32066

Schwachstelle in Ruby ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-33503

Schwachstelle in urllib3 ermöglicht Denial-of-Service-Angriff

CVE-2021-34552

Schwachstelle in Python Pillow ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-35042

Schwachstelle in Django ermöglicht SQL-Injektion

CVE-2021-3672

Schwachstelle in c-ares ermöglicht Cross-Site-Scripting-Angriff

CVE-2021-38115

Schwachstelle in LibGD ermöglicht Denial-of-Service-Angriff

CVE-2021-38165

Schwachstelle in Lynx ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.