2022-0369: Oracle Solaris: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2022-02-16 11:19)

Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Oracle
UNIX

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Administratorrechte zu erlangen, Dateien zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen und Denial-of-Service (DoS)-Angriffe durchzuführen. Zudem kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um Dateien zu manipulieren, um Informationen auszuspähen, Privilegien zu eskalieren, beliebigen Programmcode auch mit den Rechten des angemeldeten Benutzers auszuführen und Denial-of-Service (DoS)-Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung der Schwachstelle CVE-2021-3770 kann Einfluss auf andere Komponenten haben.

Die Bewertung der Schwachstellen und die Auswirkung bei einer erfolgreichen Ausnutzung werden durch Oracle im Kontext von Solaris zum Teil anders bewertet als ursprünglich durch den Hersteller.

Oracle veröffentlicht mit der Revision 3 des am Oracle-Patchday im Januar 2022 veröffentlichten 'Oracle Solaris Third Party Bulletin' Hinweise zu den Schwachstellen, die mit Oracle Solaris 11.4 Support Repository Update (SRU) 42 behoben wurden.

Mit der Behebung einiger der Schwachstellen werden jeweils weitere Schwachstellen adressiert (siehe 'Notes').

Schwachstellen:

CVE-2016-2124

Schwachstelle in Samba ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2019-14822

Schwachstelle in ibus ermöglicht u. a. Ausspähen von Informationen

CVE-2020-15250

Schwachstelle in JUnit 4 ermöglicht Ausspähen von Informationen

CVE-2021-27815

Schwachstelle in exif ermöglicht Denial-of-Service-Angriff

CVE-2021-30851

Schwachstelle in WebKit ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-3572

Schwachstelle in python-pip ermöglicht Manipulation von Dateien

CVE-2021-3711

Schwachstelle in OpenSSL ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-3770

Schwachstelle in Vim ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-3872

Schwachstelle in vim ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-39212

Schwachstelle in ImageMagick ermöglicht Manipulation von Dateien

CVE-2021-39272

Schwachstelle in Fetchmail ermöglicht Ausspähen von Informationen

CVE-2021-3928

Schwachstelle in vim ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-3968

Schwachstelle in vim ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-4008

Schwachstelle in X.Org Server ermöglicht u. a. Privilegieneskalation

CVE-2021-4069

Schwachstelle in vim ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-40812

Schwachstelle in GD Graphics Library ermöglicht Denial-of-Service-Angriff

CVE-2021-42717

Schwachstelle in ModSecurity ermöglicht Denial-of-Service-Angriff

CVE-2021-43332

Schwachstelle in GNU Mailman ermöglicht Erlangen von Administratorrechten

CVE-2021-43527

Schwachstelle in Network Security Services (NSS) ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-44420

Schwachstelle in Django ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-44790

Schwachstelle in Apache HTTP-Server ermöglicht Denial-of-Service-Angriff

CVE-2022-21271

Schwachstelle in Oracle Java SE ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.