2023-2535: Oracle GraalVM, GraalVM for JDK: Mehrere Schwachstellen ermöglichen u. a. einen HTTP-Request-Smuggling-Angriff

Historie:

Version 1 (2023-10-18 10:08)

Neues Advisory

Betroffene Software

Entwicklung
Virtualisierung

Betroffene Plattformen

Apple
Linux
Microsoft
Container

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Sicherheitsvorkehrungen zu umgehen, einen HTTP-Request-Smuggling-Angriff und Denial-of-Service (DoS)-Angriffe durchzuführen.

Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich.

Oracle veröffentlicht im Rahmen des Patchtags im Oktober 2023 die GraalVM Enterprise Edition Versionen 20.3.12, 21.3.8 und 22.3.4, mit denen abhängig von der eingesetzten Basisversion das Sicherheitsniveau von Oracle JDK 8u391-b12, 11.0.21+9 oder 17.0.9+11 umgesetzt wird.

Als weitere Sicherheitsupdates stehen Oracle GraalVM for JDK 17.0.9 und 21.0.1 bereit. Die GraalVM Community Edition for JDK Versionen 17.0.9 und 21.0.1 werden als Sicherheitsupdates für den 24.10.2023 angekündigt.

Schwachstellen:

CVE-2023-22025

Schwachstelle in Oracle Java SE ermöglicht Manipulation von Daten

CVE-2023-22081

Schwachstelle in Oracle Java SE ermöglicht Denial-of-Service-Angriff

CVE-2023-22091

Schwachstelle in Oracle GraalVM ermöglicht u. a. Manipulation von Daten

CVE-2023-30585

Schwachstelle in Node.js ermöglicht u. a. Manipulation von Dateien

CVE-2023-30588

Schwachstelle in Node.js ermöglicht Denial-of-Service-Angriff

CVE-2023-30589

Schwachstelle in Node.js ermöglicht HTTP-Request-Smuggling-Angriff

CVE-2023-30590

Schwachstelle in Node.js ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.