2023-1643: Oracle Solaris: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2023-07-19 14:19)

Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Oracle
UNIX

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, beliebigen Programmcode auszuführen, einen Cross-Site-Scripting (XSS)-Angriff durchzuführen, einen Denial-of-Service (DoS)-Angriff durchzuführen und falsche Informationen darzustellen. Ein Angreifer kann mehrere weitere Schwachstellen lokal ausnutzen, um beliebigen Programmcode auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers.

Oracle gibt mit dem am Patchtag im Juli 2023 veröffentlichten 'Oracle Solaris Third Party Bulletin' Hinweise zu den Schwachstellen, die mit Oracle Solaris 11.4 Support Repository Update (SRU) 59 adressiert wurden. Der Hersteller veröffentlicht ebenfalls Solaris 11.3 Extended Support Update (ESU) 36.32.

Mit der Behebung einiger der Schwachstellen werden jeweils weitere Schwachstellen adressiert (siehe 'Notes').

Schwachstellen:

CVE-2021-3575

Schwachstelle in OpenJPEG ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2022-31783

Schwachstelle in Liblouis ermöglicht Denial-of-Service-Angriff

CVE-2022-37290

Schwachstelle in GNOME Nautilus ermöglicht Denial-of-Service-Angriff

CVE-2022-37434

Schwachstelle in GNU zlib ermöglicht Denial-of-Service-Angriff

CVE-2022-41716

Schwachstelle in Go ermöglicht Darstellen falscher Informationen

CVE-2023-1999

Schwachstelle in libwebp ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-21980

Schwachstelle in Oracle MySQL ermöglicht komplette Kompromittierung der Software

CVE-2023-24539

Schwachstelle in Go ermöglicht Cross-Site-Scripting-Angriff

CVE-2023-24998

Schwachstelle in Apache Commons FileUpload und Apache Tomcat ermöglicht Denial-of-Service-Angriff

CVE-2023-26767

Schwachstelle in Liblouis ermöglicht Denial-of-Service-Angriff

CVE-2023-2731

Schwachstelle in LibTIFF ermöglicht Denial-of-Service-Angriff

CVE-2023-28484

Schwachstelle in LibXML2 ermöglicht Denial-of-Service-Angriff

CVE-2023-29007

Schwachstelle in Git ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-30608

Schwachstelle in sqlparse ermöglicht Denial-of-Service-Angriff

CVE-2023-32324

Schwachstelle in CUPS ermöglicht Denial-of-Service-Angriff

CVE-2023-34416

Schwachstellen in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglichen Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.