2022-1143: Oracle Solaris: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2022-05-19 16:22)
- Neues Advisory
Betroffene Software
Systemsoftware
Betroffene Plattformen
Oracle
UNIX
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen, einen Denial-of-Service (DoS)-Angriff durchzuführen und falsche Informationen darzustellen. Ein Angreifer kann mehrere weitere Schwachstellen lokal ausnutzen, um Informationen auszuspähen, beliebigen Programmcode auszuführen, einen Denial-of-Service (DoS)-Angriff durchzuführen und nicht spezifizierte Angriffe durchzuführen.
Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung der Schwachstellen CVE-2021-25220 und CVE-2021-3448 kann Einfluss auf andere Komponenten haben.
Die Bewertung der Schwachstellen und die Auswirkung bei einer erfolgreichen Ausnutzung werden durch Oracle im Kontext von Solaris zum Teil anders bewertet als ursprünglich durch den Hersteller.
Oracle veröffentlicht mit der Revision 2 des am Oracle-Patchday im April 2022 veröffentlichten 'Oracle Solaris Third Party Bulletin' Hinweise zu den Schwachstellen, die mit Oracle Solaris 11.4 Support Repository Update (SRU) 45 behoben wurden.
Mit der Behebung einiger der Schwachstellen werden jeweils weitere Schwachstellen adressiert (siehe 'Notes').
Schwachstellen:
CVE-2020-29651
Schwachstelle in py (python-py) ermöglicht Denial-of-Service-AngriffCVE-2021-0561
Schwachstelle in FLAC und Media Framework ermöglicht Ausspähen von InformationenCVE-2021-22946
Schwachstelle in curl ermöglicht Ausspähen von InformationenCVE-2021-25220
Schwachstelle in ISC BIND ermöglicht Darstellen falscher InformationenCVE-2021-30897
Schwachstelle in WebKit ermöglicht Ausspähen von InformationenCVE-2021-3448
Schwachstelle in Dnsmasq ermöglicht Cache-Poisoning-AngriffCVE-2021-34558
Schwachstelle in Go ermöglicht Denial-of-Service-AngriffCVE-2021-36221
Schwachstelle in Go ermöglicht Denial-of-Service-AngriffCVE-2021-4115
Schwachstelle in PolKit ermöglicht Denial-of-Service-AngriffCVE-2021-4136
Schwachstelle in vim ermöglicht u. a. Ausführen beliebigen ProgrammcodesCVE-2021-4173
Schwachstelle in vim ermöglicht u. a. Ausführen beliebigen ProgrammcodesCVE-2021-41771
Schwachstelle in Go ermöglicht Denial-of-Service-AngriffCVE-2021-4217
Schwachstelle in Unzip ermöglicht u. a. Denial-of-Service-AngriffCVE-2021-43519
Schwachstelle in Lua ermöglicht Denial-of-Service-AngriffCVE-2021-45444
Schwachstelle in Zsh ermöglicht Ausführen beliebigen ProgrammcodesCVE-2021-45483
Schwachstelle in WebKitGTK ermöglicht Denial-of-Service-AngriffCVE-2022-0729
Schwachstelle in vim ermöglicht Ausführen beliebigen ProgrammcodesCVE-2022-21476
Schwachstelle in Oracle Java SE und OpenJDK ermöglicht Ausspähen von InformationenCVE-2022-22589
Schwachstelle in WebKit ermöglicht Ausführen beliebigen ProgrammcodesCVE-2022-22592
Schwachstelle in WebKit ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2022-22620
Schwachstelle in WebKit ermöglicht Ausführen beliebigen ProgrammcodesCVE-2022-23308
Schwachstelle in LibXML2 ermöglicht u. a. Denial-of-Service-AngriffCVE-2022-24130
Schwachstelle in XTerm ermöglicht Denial-of-Service-AngriffCVE-2022-4187
Schwachstelle in Chromium und Google Chrome ermöglicht Umgehen von Sicherheitsvorkehrungen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.