2023-0124: GraalVM: Mehrere Schwachstellen ermöglichen u. a. die komplette Kompromittierung der Software

Historie:

Version 1 (2023-01-18 13:51)

Neues Advisory

Betroffene Software

Entwicklung
Virtualisierung

Betroffene Plattformen

HP
Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um eine betroffene Komponente komplett zu kompromittieren, Dateien zu manipulieren und einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich.

Oracle veröffentlicht im Rahmen des Patchtages im Januar 2023 GraalVM Enterprise Edition 20.3.9, 21.3.5 und 22.3.1, mit denen abhängig von der eingesetzten Basisversion das Sicherheitsniveau von Oracle JDK 8u361, 11.0.18, 17.0.6 oder 19.0.2 umgesetzt wird.

Im Zuge der Behebung der Schwachstelle CVE-2022-43548 werden zusätzlich die Schwachstellen CVE-2022-3602 und CVE-2022-3786 behoben, die aber hier nicht weiter aufgeführt werden.

Schwachstellen:

CVE-2022-43548

Schwachstelle in Node.js ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-21830

Schwachstelle in Oracle Java SE ermöglicht Manipulation von Daten

CVE-2023-21835

Schwachstelle in Oracle Java SE ermöglicht Denial-of-Service-Angriff

CVE-2023-21843

Schwachstelle in Oracle Java SE ermöglicht Manipulation von Daten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.