2021-2566: Tails: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2021-12-09 17:19)

Neues Advisory

Version 2 (2023-06-23 09:55)

Die CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY (CISA) hat die Schwachstelle CVE-2021-44026 in Roundcube Webmail in ihren 'Known Exploited Vulnerabilities Catalog' aufgenommen, da diese aktiv ausgenutzt wird.

Betroffene Software

Sicherheit
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen, Dateien zu manipulieren, Informationen auszuspähen, Privilegien zu eskalieren, Administratorrechte zu erlangen, Sicherheitsvorkehrungen zu umgehen und falsche Informationen darzustellen sowie Server-Side-Template-Injection-, Directory-Traversal-, Server-Side-Request-Forgery (SSRF)-, Cross-Site-Scripting (XSS)- und Denial-of-Service (DoS)-Angriffe durchzuführen. Zudem kann ein Angreifer mehrere weitere Schwachstellen lokal ausnutzen, um Privilegien zu eskalieren, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen und Denial-of-Service (DoS)-Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.

Das Tor-Projekt informiert über die Schwachstellen mit Verweisen auf Tor Browser 11.0.2 (auf Basis von Firefox 91.4 ESR) sowie eine Reihe von Debian Security Advisories und empfiehlt ein Update auf Tails 4.25, um die Schwachstellen zu beheben.

Schwachstellen:

CVE-2016-2124

Schwachstelle in Samba ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-11082

Schwachstelle in Kaminari ermöglicht Ausführung beliebigen Programmcodes

CVE-2020-21913

Schwachstelle in International Components for Unicode (ICU) ermöglicht Denial-of-Service-Angriff

CVE-2020-25717

Schwachstelle in Samba ermöglicht Privilegieneskalation

CVE-2020-25718

Schwachstelle in Samba ermöglicht Erlangen von Administratorrechten

CVE-2020-25719

Schwachstelle in Samba ermöglicht Privilegieneskalation

CVE-2020-25721

Schwachstelle in Samba ermöglicht Privilegieneskalation

CVE-2020-25722

Schwachstelle in Samba ermöglicht Privilegieneskalation

CVE-2020-28243

Schwachstelle in Salt ermöglicht Privilegieneskalation

CVE-2020-28972

Schwachstelle in Salt ermöglicht Man-in-the-Middle-Angriff

CVE-2020-35662

Schwachstelle in Salt ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-21341

Schwachstelle in XStream ermöglicht Denial-of-Service-Angriff

CVE-2021-21342

Schwachstelle in XStream ermöglicht Server-Side-Request-Forgery-Angriff

CVE-2021-21343

Schwachstelle in XStream ermöglicht Manipulation von Dateien

CVE-2021-21344

Schwachstelle in XStream ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-21345

Schwachstelle in XStream ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-21346 CVE-2021-21347 CVE-2021-21350

Mehrere Schwachstellen in XStream ermöglichen Ausführen beliebigen Programmcodes

CVE-2021-21348

Schwachstelle in XStream ermöglicht Denial-of-Service-Angriff

CVE-2021-21349

Schwachstelle in XStream ermöglicht Ausspähen von Informationen

CVE-2021-21351

Schwachstelle in XStream ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-21996

Schwachstelle in Salt ermöglicht Privilegieneskalation

CVE-2021-23192

Schwachstelle in Samba ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-23214

Schwachstelle in PostgreSQL ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-23222

Schwachstelle in PostgreSQL ermöglicht u. a. Darstellen falscher Informationen

CVE-2021-25281

Schwachstelle in Salt ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-25282

Schwachstelle in Salt ermöglicht Directory-Traversal-Angriff

CVE-2021-25283

Schwachstelle in Salt ermöglicht Server-Side-Template-Injection-Angriff

CVE-2021-25284

Schwachstelle in Salt ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-28702

Schwachstelle in Xen ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-28704

Schwachstelle in Xen ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-28705

Schwachstelle in Xen ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-28706

Schwachstelle in Xen ermöglicht Denial-of-Service-Angriff

CVE-2021-28707

Schwachstelle in Xen ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-28708

Schwachstelle in Xen ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-28709

Schwachstelle in Xen ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-29505

Schwachstelle in XStream ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-3144

Schwachstelle in Salt ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-3148

Schwachstelle in Salt ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-31607

Schwachstelle in Salt ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-3197

Schwachstelle in Salt ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-35556

Schwachstelle in Oracle Java SE ermöglicht Denial-of-Service-Angriff

CVE-2021-35559

Schwachstelle in Oracle Java SE ermöglicht Denial-of-Service-Angriff

CVE-2021-35561

Schwachstelle in Oracle Java SE ermöglicht Denial-of-Service-Angriff

CVE-2021-35564

Schwachstelle in Oracle Java SE ermöglicht Manipulation von Daten

CVE-2021-35567

Schwachstelle in Oracle Java SE ermöglicht Ausspähen von Informationen

CVE-2021-35578

Schwachstelle in Oracle Java SE ermöglicht Denial-of-Service-Angriff

CVE-2021-35586

Schwachstelle in Oracle Java SE ermöglicht Denial-of-Service-Angriff

CVE-2021-35603

Schwachstelle in Oracle Java SE ermöglicht Ausspähen von Informationen

CVE-2021-3738

Schwachstelle in Samba ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-37701

Schwachstelle in node-tar ermöglicht u. a. Manipulation von Dateien

CVE-2021-37712

Schwachstelle in node-tar ermöglicht u. a. Manipulation von Dateien

CVE-2021-39139

Schwachstelle in XStream ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-39140

Schwachstelle in XStream ermöglicht Denial-of-Service-Angriff

CVE-2021-39141 CVE-2021-39145 CVE-2021-39146 CVE-2021-39147 CVE-2021-39148 CVE-2021-39149 CVE-2021-39151 CVE-2021-39154

Schwachstellen in XStream ermöglichen Ausführen beliebigen Programmcodes

CVE-2021-39144

Schwachstelle in XStream ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-39150 CVE-2021-39152

Schwachstellen in XStream ermöglichen Server-Side-Request-Forgery-Angriffe

CVE-2021-39153

Schwachstelle in XStream ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-40690

Schwachstelle in Apache Santuario - XML Security for Java ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-4129

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Darstellen falscher Informationen

CVE-2021-42340

Schwachstelle in Apache Tomcat ermöglicht Denial-of-Service-Angriff

CVE-2021-43527

Schwachstelle in Network Security Services (NSS) ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-43536

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausspähen von Informationen

CVE-2021-43537

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-43538

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Darstellen falscher Informationen

CVE-2021-43539

Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-43541

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-43542

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausspähen von Informationen

CVE-2021-43543

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-43545

Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglicht Denial-of-Service-Angriff

CVE-2021-43546

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Darstellen falscher Informationen

CVE-2021-44025

Schwachstelle in Roundcube Webmail ermöglicht Cross-Site-Scripting-Angriff

CVE-2021-44026

Schwachstelle in Roundcube Webmail ermöglicht SQL-Injection

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.