2024-1011: Oracle Solaris: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2024-04-17 13:12)

Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Oracle
UNIX

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen, Denial-of-Service (DoS)-Angriffe durchzuführen und falsche Informationen darzustellen. Zudem kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen und Denial-of-Service (DoS)-Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung zweier Schwachstellen kann Einfluss auf andere Komponenten haben.

Oracle gibt mit dem am Patchtag im April 2024 veröffentlichten 'Oracle Solaris Third Party Bulletin' Hinweise zu den Schwachstellen, die mit Oracle Solaris 11.4 Support Repository Update (SRU) 68 behoben wurden. Der Hersteller veröffentlicht ebenfalls Solaris 11.3 Extended Support Update (ESU) 36.33. Mit Behebung der Schwachstellen CVE-2023-50868, CVE-2023-52355, CVE-2024-21891, CVE-2024-23672 und CVE-2023-5388 werden jeweils weitere Schwachstellen adressiert (siehe 'Notes').

Schwachstellen:

CVE-2022-40982

Schwachstelle in Intel-Prozessoren ermöglicht u. a. Ausspähen von Informationen

CVE-2023-50868

Schwachstelle in ISC BIND ermöglicht Denial-of-Service-Angriff

CVE-2023-51257

Schwachstelle in JasPer ermöglicht u. a. Denial-of-Service-Angriff

CVE-2023-51765

Schwachstelle in Sendmail ermöglicht u. a. Darstellen falscher Informationen

CVE-2023-52355

Schwachstelle in LibTIFF ermöglicht Denial-of-Service-Angriff

CVE-2023-5388

Schwachstelle in Network Security Services (NSS) ermöglicht Ausspähen von Informationen

CVE-2024-0727

Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

CVE-2024-0743

Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR, Network Security Services (NSS) und Thunderbird ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2024-21891

Schwachstelle in Node.js ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2024-23672

Schwachstelle in Apache Tomcat ermöglicht Denial-of-Service-Angriff

CVE-2024-24806

Schwachstelle in libuv ermöglicht Server-Side-Request-Forgery-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.