2021-2194: GraalVM: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2021-10-20 15:10)

Neues Advisory

Betroffene Software

Entwicklung
Virtualisierung

Betroffene Plattformen

HP
IBM
Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen sowie einen Cross-Site-Scripting (XSS)-Angriff und verschiedene Denial-of-Service (DoS)-Angriffe durchzuführen. Zwei weitere Schwachstellen können lokal ausgenutzt werden, um Dateien zu manipulieren und darüber weitere Angriffe durchzuführen.

Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung zweier Schwachstellen kann Einfluss auf andere Komponenten haben.

Oracle veröffentlicht anlässlich des Patchtags im Oktober 2021 Sicherheitsupdates zur Behebung der Schwachstellen in Oracle GraalVM Enterprise Edition 20.3.3 und 21.2.0 und dessen Komponente Node.js. Als fehlerbereinigte Versionen werden GraalVM 20.3.4 und 21.3.0 bereitgestellt.

Schwachstellen:

CVE-2019-16775

Schwachstelle in npm ermöglicht Manipulation von Dateien

CVE-2021-22931

Schwachstelle in Node.js ermöglicht u. a. Cross-Site-Scripting-Angriff

CVE-2021-22939

Schwachstelle in Node.js ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-22940

Schwachstelle in Node.js ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-27290

Schwachstelle in ssri ermöglicht Denial-of-Service-Angriff

CVE-2021-32803

Schwachstelle in node-tar ermöglicht Manipulation von Dateien

CVE-2021-32804

Schwachstelle in node-tar ermöglicht Manipulation von Dateien

CVE-2021-35550

Schwachstelle in Oracle Java SE ermöglicht Ausspähen von Informationen

CVE-2021-35556

Schwachstelle in Oracle Java SE ermöglicht Denial-of-Service-Angriff

CVE-2021-35559

Schwachstelle in Oracle Java SE ermöglicht Denial-of-Service-Angriff

CVE-2021-35560

Schwachstelle in Oracle Java SE ermöglicht komplette Kompromittierung der Software

CVE-2021-35561

Schwachstelle in Oracle Java SE ermöglicht Denial-of-Service-Angriff

CVE-2021-35564

Schwachstelle in Oracle Java SE ermöglicht Manipulation von Daten

CVE-2021-35565 CVE-2021-35578

Schwachstellen in Oracle Java SE ermöglichen Denial-of-Service-Angriff

CVE-2021-35567

Schwachstelle in Oracle Java SE ermöglicht Ausspähen von Informationen

CVE-2021-35586

Schwachstelle in Oracle Java SE ermöglicht Denial-of-Service-Angriff

CVE-2021-35588

Schwachstelle in Oracle Java SE ermöglicht Denial-of-Service-Angriff

CVE-2021-35603

Schwachstelle in Oracle Java SE ermöglicht Ausspähen von Informationen

CVE-2021-37701

Schwachstelle in node-tar ermöglicht u. a. Manipulation von Dateien

CVE-2021-37712

Schwachstelle in node-tar ermöglicht u. a. Manipulation von Dateien

CVE-2021-37713

Schwachstelle in node-tar ermöglicht u. a. Manipulation von Dateien

CVE-2021-39134

Schwachstelle in Arborist ermöglicht u. a. Manipulation von Dateien

CVE-2021-39135

Schwachstelle in Arborist ermöglicht u. a. Manipulation von Dateien

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.