2022-1714: Tails: Mehrere Schwachstellen ermöglichen u. a. das Erlangen von Administratorrechten

Historie:

Version 1 (2022-08-04 14:45)

Neues Advisory

Betroffene Software

Sicherheit
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen lokal ausnutzen, um Administratorrechte zu erlangen, Privilegien zu eskalieren, Informationen auszuspähen und Denial-of-Service (DoS)-Angriffe durchzuführen. Mehrere weitere Schwachstellen können aus der Ferne ausgenutzt werden, um Dateien zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen, Privilegien zu eskalieren, einen weiteren Denial-of-Service (DoS)-Angriff durchzuführen und falsche Informationen darzustellen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Zwei Schwachstellen erfordern die Interaktion eines Benutzers.

Das Tor-Projekt informiert über die Schwachstellen und veröffentlicht Tails 5.3.1 als 'Emergency Release', um den Linux-Kernel auf Version 5.10.127-2 zu bringen und damit die Schwachstelle CVE-2022-34918 zu schließen, welche die De-Anonymisierung von Tails mit Hilfe einer Anwendung ermöglicht. Eine Ausnutzung gilt als unwahrscheinlich.

Desweiteren wird auf Schwachstellen in Thunderbird 91.12.0 sowie eine Reihe von Debian Security Advisories verwiesen, von denen die für Tails relevanten Sicherheitsupdates ebenfalls berücksichtigt werden.

Schwachstellen:

CVE-2020-13692

Schwachstelle in PostgreSQL JDBC Driver ermöglicht XML-External-Entity-Angriff

CVE-2021-33655

Schwachstelle in Linux-Kernel ermöglicht Privilegieneskalation

CVE-2022-21540

Schwachstelle in Oracle Java SE ermöglicht Ausspähen von Informationen

CVE-2022-21541

Schwachstelle in Oracle Java SE ermöglicht Manipulation von Daten

CVE-2022-21549

Schwachstelle in Oracle Java SE ermöglicht Manipulation von Daten

CVE-2022-21724

Schwachstelle in PostgreSQL JDBC ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-2318

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2022-2469

Schwachstelle in GNU SASL ermöglicht Denial-of-Service-Angriff

CVE-2022-2553

Schwachstelle in Booth ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-26365 CVE-2022-33740

Schwachstellen in Xen ermöglichen u. a. Denial-of-Service-Angriff

CVE-2022-26520

Schwachstelle in pgjdbc ermöglicht Manipulation von Dateien

CVE-2022-33741 CVE-2022-33742

Schwachstellen in Xen ermöglichen u. a. Denial-of-Service-Angriff

CVE-2022-33743

Schwachstelle in Xen ermöglicht u. a. Denial-of-Service-Angriff

CVE-2022-33744

Schwachstelle in Xen ermöglicht Denial-of-Service-Angriff

CVE-2022-34169

Schwachstelle in Oracle Java SE ermöglicht u. a. Manipulation von Daten

CVE-2022-34918

Schwachstelle in Linux-Kernel ermöglicht Erlangen von Administratorrechten

CVE-2022-36318

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausspähen von Informationen

CVE-2022-36319

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Darstellen falscher Informationen

DSA-5190-1-A

Schwachstelle in SPIP ermöglicht u. a. Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.