2022-0110: Oracle Solaris: Mehrere Schwachstellen ermöglichen u. a. das Erlangen von Administratorrechten

Historie:

Version 1 (2022-01-19 12:03)

Neues Advisory

Version 2 (2022-01-31 08:59)

Oracle hat sein Oracle Solaris Third Party Bulletin January 2022 ergänzt und führt nun auch die Schwachstelle CVE-2021-4034 in PolKit als behoben auf, welche einem Angreifer mit niedrigen Privilegien bei lokaler Ausnutzung das Erlangen von Administratorrechten ermöglicht.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Oracle
UNIX

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Administratorrechte zu erlangen, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen, Denial-of-Service (DoS)-Angriffe durchzuführen und falsche Informationen darzustellen. Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung zweier Schwachstellen kann Einfluss auf andere Komponenten haben.

Oracle gibt mit dem am Patchtag im Januar 2022 veröffentlichten 'Oracle Solaris Third Party Bulletin' Hinweise zu den Schwachstellen, die mit Oracle Solaris 11.4 Support Repository Update (SRU) 41 adressiert wurden. Der Hersteller veröffentlicht ebenfalls Solaris 11.3 Extended Support Update (ESU) 36.27.

Die folgenden Komponenten wurden zur Behebung der Schwachstellen aktualisiert: Firefox auf Version 91.4.0esr, PHP 8.0 auf Version 8.0.13, PHP 7.4 auf Version 7.4.26, PHP 7.3 auf Version 7.3.33, Thunderbird auf Version 91.4.0, Wireshark auf Version 3.4.10 und GNU Mailman ohne Angabe einer Zielversion.

Die Bewertung der Schwachstellen und die Auswirkung bei einer erfolgreichen Ausnutzung werden durch Oracle im Kontext von Solaris zum Teil anders bewertet als ursprünglich durch den Hersteller.

Schwachstellen:

CVE-2021-21707

Schwachstelle in PHP ermöglicht u. a. Darstellen falscher Informationen

CVE-2021-39920

Schwachstelle in Wireshark ermöglicht Denial-of-Service-Angriff

CVE-2021-39921

Schwachstelle in Wireshark ermöglicht Denial-of-Service-Angriff

CVE-2021-39922

Schwachstelle in Wireshark ermöglicht Denial-of-Service-Angriff

CVE-2021-39923

Schwachstelle in Wireshark ermöglicht Denial-of-Service-Angriff

CVE-2021-39924

Schwachstelle in Wireshark ermöglicht Denial-of-Service-Angriff

CVE-2021-39925

Schwachstelle in Wireshark ermöglicht Denial-of-Service-Angriff

CVE-2021-39926

Schwachstelle in Wireshark ermöglicht Denial-of-Service-Angriff

CVE-2021-39928

Schwachstelle in Wireshark ermöglicht Denial-of-Service-Angriff

CVE-2021-39929

Schwachstelle in Wireshark ermöglicht Denial-of-Service-Angriff

CVE-2021-4034

Schwachstelle in PolKit ermöglicht Erlangen von Administratorrechten

CVE-2021-43528

Schwachstelle in Thunderbird ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-43536

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausspähen von Informationen

CVE-2021-43537

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-43538

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Darstellen falscher Informationen

CVE-2021-43539

Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-43541

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-43542

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausspähen von Informationen

CVE-2021-43543

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-43545

Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglicht Denial-of-Service-Angriff

CVE-2021-43546

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Darstellen falscher Informationen

CVE-2021-44227

Schwachstelle in GNU Mailman ermöglicht Erlangen von Administratorrechten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.