2023-1657: GraalVM: Mehrere Schwachstellen ermöglichen u. a. die Manipulation von Dateien
Historie:
- Version 1 (2023-07-19 14:58)
- Neues Advisory
Betroffene Software
Entwicklung
Virtualisierung
Betroffene Plattformen
Apple
Linux
Microsoft
Container
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Zwei weitere Schwachstellen können lokal ausgenutzt werden, um Informationen auszuspähen und einen Denial-of-Service (DoS)-Angriff durchzuführen.
Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Zwei der Schwachstellen erfordern die Interaktion eines Benutzers.
Oracle veröffentlicht im Rahmen des Patchtags im Juli 2023 die GraalVM Enterprise Edition Versionen 20.3.11, 21.3.7 und 22.3.3, mit denen abhängig von der eingesetzten Basisversion das Sicherheitsniveau von Oracle JDK 8u381+9, 11.0.20+9 oder 17.0.8+9 umgesetzt wird.
Als weitere Sicherheitsupdates stehen Oracle GraalVM for JDK 17.0.8 und 20.0.2 bereit. GraalVM Community Edition 22.3.3 ist als Sicherheitsupdate für den 25.07.2023 angekündigt.
Schwachstellen:
CVE-2023-22006
Schwachstelle in Oracle Java SE ermöglicht Manipulation von DatenCVE-2023-22036
Schwachstelle in Oracle Java SE ermöglicht Denial-of-Service-AngriffCVE-2023-22041
Schwachstelle in Oracle Java SE ermöglicht Ausspähen von InformationenCVE-2023-22044
Schwachstelle in Oracle Java SE ermöglicht Ausspähen von InformationenCVE-2023-22045
Schwachstelle in Oracle Java SE ermöglicht Ausspähen von InformationenCVE-2023-22049
Schwachstelle in Oracle Java SE ermöglicht Manipulation von DatenCVE-2023-22051
Schwachstelle in Oracle Java SE ermöglicht Ausspähen von InformationenCVE-2023-25193
Schwachstelle in HarfBuzz ermöglicht Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.