2021-2194: GraalVM: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2021-10-20 15:10)
- Neues Advisory
Betroffene Software
Entwicklung
Virtualisierung
Betroffene Plattformen
HP
IBM
Apple
Linux
Microsoft
Oracle
UNIX
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen sowie einen Cross-Site-Scripting (XSS)-Angriff und verschiedene Denial-of-Service (DoS)-Angriffe durchzuführen. Zwei weitere Schwachstellen können lokal ausgenutzt werden, um Dateien zu manipulieren und darüber weitere Angriffe durchzuführen.
Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung zweier Schwachstellen kann Einfluss auf andere Komponenten haben.
Oracle veröffentlicht anlässlich des Patchtags im Oktober 2021 Sicherheitsupdates zur Behebung der Schwachstellen in Oracle GraalVM Enterprise Edition 20.3.3 und 21.2.0 und dessen Komponente Node.js. Als fehlerbereinigte Versionen werden GraalVM 20.3.4 und 21.3.0 bereitgestellt.
Schwachstellen:
CVE-2019-16775
Schwachstelle in npm ermöglicht Manipulation von DateienCVE-2021-22931
Schwachstelle in Node.js ermöglicht u. a. Cross-Site-Scripting-AngriffCVE-2021-22939
Schwachstelle in Node.js ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2021-22940
Schwachstelle in Node.js ermöglicht Ausführen beliebigen ProgrammcodesCVE-2021-27290
Schwachstelle in ssri ermöglicht Denial-of-Service-AngriffCVE-2021-32803
Schwachstelle in node-tar ermöglicht Manipulation von DateienCVE-2021-32804
Schwachstelle in node-tar ermöglicht Manipulation von DateienCVE-2021-35550
Schwachstelle in Oracle Java SE ermöglicht Ausspähen von InformationenCVE-2021-35556
Schwachstelle in Oracle Java SE ermöglicht Denial-of-Service-AngriffCVE-2021-35559
Schwachstelle in Oracle Java SE ermöglicht Denial-of-Service-AngriffCVE-2021-35560
Schwachstelle in Oracle Java SE ermöglicht komplette Kompromittierung der SoftwareCVE-2021-35561
Schwachstelle in Oracle Java SE ermöglicht Denial-of-Service-AngriffCVE-2021-35564
Schwachstelle in Oracle Java SE ermöglicht Manipulation von DatenCVE-2021-35565 CVE-2021-35578
Schwachstellen in Oracle Java SE ermöglichen Denial-of-Service-AngriffCVE-2021-35567
Schwachstelle in Oracle Java SE ermöglicht Ausspähen von InformationenCVE-2021-35586
Schwachstelle in Oracle Java SE ermöglicht Denial-of-Service-AngriffCVE-2021-35588
Schwachstelle in Oracle Java SE ermöglicht Denial-of-Service-AngriffCVE-2021-35603
Schwachstelle in Oracle Java SE ermöglicht Ausspähen von InformationenCVE-2021-37701
Schwachstelle in node-tar ermöglicht u. a. Manipulation von DateienCVE-2021-37712
Schwachstelle in node-tar ermöglicht u. a. Manipulation von DateienCVE-2021-37713
Schwachstelle in node-tar ermöglicht u. a. Manipulation von DateienCVE-2021-39134
Schwachstelle in Arborist ermöglicht u. a. Manipulation von DateienCVE-2021-39135
Schwachstelle in Arborist ermöglicht u. a. Manipulation von Dateien
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.