2024-1004: Oracle GraalVM, GraalVM for JDK: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2024-04-17 12:33)
- Neues Advisory
Betroffene Software
Entwicklung
Virtualisierung
Betroffene Plattformen
HP
Apple
Linux
Microsoft
Oracle
UNIX
Container
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, beliebigen Programmcode auszuführen und Denial-of-Service (DoS)-Angriffe durchzuführen. Zudem kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um Dateien zu manipulieren und beliebigen Programmcode mit den Rechten des betroffenen Dienstes auszuführen.
Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung einer Schwachstelle kann Einfluss auf andere Komponenten haben.
Oracle veröffentlicht im Rahmen des Patchtags im April 2024 die GraalVM Enterprise Edition Versionen 20.3.14 und 21.3.10, mit denen abhängig von der eingesetzten Basisversion das Sicherheitsniveau von Oracle JDK 8u401-b10, 8u411-b09, 11.0.22+9, 11.0.23+7 oder 17.0.11+7 umgesetzt wird. Als weitere Sicherheitsupdates stehen Oracle GraalVM for JDK 17.0.11, 21.0.3 und 22.0.1 bereit.
Im Zuge der Behebung der Schwachstellen CVE-2024-21892 und CVE-2023-41993 werden zusätzlich die Schwachstellen CVE-2023-41074, CVE-2023-42917, CVE-2023-46809 und CVE-2024-22019 behoben, die aber hier nicht weiter aufgeführt werden. Außerdem gibt Oracle an, dass mittels der verfügbaren Updates auch Schwachstellen in Drittanbieter-Komponenten adressiert werden, die in diesen Oracle-Produkten nicht ausnutzbar sind.
Schwachstellen:
CVE-2023-41993
Schwachstelle in WebKit ermöglicht Ausführen beliebigen ProgrammcodesCVE-2024-20954
Schwachstelle in GraalVM und GraalVM for JDK ermöglicht Ausspähen von InformationenCVE-2024-21002
Schwachstelle in GraalVM, Oracle JDK und Oracle Java SE Embedded ermöglicht Manipulation von DateienCVE-2024-21003
Schwachstelle in GraalVM, Oracle JDK und Oracle Java SE Embedded ermöglicht Manipulation von DateienCVE-2024-21004
Schwachstelle in GraalVM, Oracle JDK und Oracle Java SE Embedded ermöglicht Manipulation von DateienCVE-2024-21005
Schwachstelle in GraalVM, Oracle JDK und Oracle Java SE Embedded ermöglicht Manipulation von DateienCVE-2024-21011
Schwachstelle in GraalVM, GraalVM for JDK, Oracle JDK und Oracle Java SE Embedded ermöglicht Denial-of-Service-AngriffCVE-2024-21012
Schwachstelle in GraalVM, GraalVM for JDK, Oracle JDK und Oracle Java SE Embedded ermöglicht Manipulation von DateienCVE-2024-21068
Schwachstelle in GraalVM, GraalVM for JDK, Oracle JDK und Oracle Java SE Embedded ermöglicht Manipulation von DateienCVE-2024-21085
Schwachstelle in GraalVM, Oracle JDK und Oracle Java SE Embedded ermöglicht Denial-of-Service-AngriffCVE-2024-21094
Schwachstelle in GraalVM, GraalVM for JDK, Oracle JDK und Oracle Java SE Embedded ermöglicht Manipulation von DateienCVE-2024-21098
Schwachstelle in GraalVM und GraalVM for JDK ermöglicht Denial-of-Service-AngriffCVE-2024-21892
Schwachstelle in Node.js ermöglicht Ausführen beliebigen Programmcodes mit den Rechten des Dienstes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.