2022-2323: Oracle Solaris: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2022-10-19 14:02)

Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Oracle
UNIX

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, beliebigen Programmcode auszuführen, verschiedene Denial-of-Service (DoS)-Angriffe durchzuführen und falsche Informationen darzustellen. Zudem kann ein Angreifer zwei Schwachstellen lokal ausnutzen, um Informationen auszuspähen.

Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung einer Schwachstelle kann Einfluss auf andere Komponenten haben.

Oracle stellt mit dem am Oracle-Patchday im Oktober 2022 veröffentlichten 'Oracle Solaris Third Party Bulletin' Hinweise zu den Schwachstellen bereit, die mit Oracle Solaris 11.4 Support Repository Update (SRU) 50 behoben wurden. Der Hersteller veröffentlicht ebenfalls Solaris 11.3 Extended Support Update (ESU) 36.30.

Mit der Behebung einiger der Schwachstellen werden jeweils weitere Schwachstellen adressiert (siehe 'Notes').

Schwachstellen:

CVE-2020-28196

Schwachstelle in MIT Kerberos ermöglicht Denial-of-Service-Angriff

CVE-2022-1292

Schwachstelle in OpenSSL ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-2097

Schwachstelle in OpenSSL ermöglicht Ausspähen von Informationen

CVE-2022-2274

Schwachstelle in OpenSSL ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-2509

Schwachstelle in GnuTLS ermöglicht Denial-of-Service-Angriff

CVE-2022-26373

Schwachstelle in Intel Prozessoren ermöglicht Ausspähen von Informationen

CVE-2022-2881

Schwachstelle in ISC BIND ermöglicht u. a. Denial-of-Service-Angriff

CVE-2022-29885

Schwachstelle in Apache Tomcat ermöglicht Denial-of-Service-Angriff

CVE-2022-31626

Schwachstelle in PHP ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-31627

Schwachstelle in PHP ermöglicht u. a. Denial-of-Service-Angriff

CVE-2022-34484

Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-36318

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausspähen von Informationen

CVE-2022-36359

Schwachstelle in Django ermöglicht Reflected-File-Download-Angriff

CVE-2022-37434

Schwachstelle in GNU zlib ermöglicht Denial-of-Service-Angriff

CVE-2022-38472

Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglicht Darstellen falscher Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.