2023-0896: GraalVM: Mehrere Schwachstellen ermöglichen u. a. die Manipulation von Dateien

Historie:

Version 1 (2023-04-19 13:50)

Neues Advisory

Betroffene Software

Entwicklung
Virtualisierung

Betroffene Plattformen

HP
Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Auch lokal ist ein Denial-of-Service-Angriff möglich.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Die erfolgreiche Ausnutzung der Schwachstelle CVE-2023-21986 kann Einfluss auf andere Komponenten haben.

Oracle veröffentlicht im Rahmen des Patchtages im April 2023 die GraalVM Enterprise Edition Versionen 20.3.10, 21.3.6 und 22.3.2, mit denen abhängig von der eingesetzten Basisversion das Sicherheitsniveau von Oracle JDK 8u371+10, 11.0.19+8 oder 17.0.7+8 umgesetzt wird.

Schwachstellen:

CVE-2023-21930

Schwachstelle in Oracle Java SE ermöglicht u. a. Manipulation von Daten

CVE-2023-21937

Schwachstelle in Oracle Java SE ermöglicht Manipulation von Daten

CVE-2023-21938

Schwachstelle in Oracle Java SE ermöglicht Manipulation von Daten

CVE-2023-21939

Schwachstelle in Oracle Java SE ermöglicht Manipulation von Daten

CVE-2023-21954

Schwachstelle in Oracle Java SE ermöglicht Ausspähen von Informationen

CVE-2023-21967

Schwachstelle in Oracle Java SE ermöglicht Denial-of-Service-Angriff

CVE-2023-21968

Schwachstelle in Oracle Java SE ermöglicht Manipulation von Daten

CVE-2023-21986

Schwachstelle in GraalVM und Oracle Solaris ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.