2024-1413: Oracle Solaris: Mehrere Schwachstellen ermöglichen u. a. das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2024-05-27 16:10): Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Oracle
UNIX

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen, einen Denial-of-Service (DoS)-Angriff durchzuführen und falsche Informationen darzustellen. Ein Angreifer kann mehrere Schwachstellen lokal ausnutzen, um Administratorrechte zu erlangen, Informationen auszuspähen, beliebigen Programmcode auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung zweier Schwachstellen kann Einfluss auf andere Komponenten haben.

Oracle stellt mit der Revision 2 des ursprünglich am Oracle-Patchday im April 2024 veröffentlichten 'Oracle Solaris Third Party Bulletin' Hinweise zu den Schwachstellen bereit, die mit Oracle Solaris 11.4 Support Repository Update (SRU) 69 behoben wurden.

Mit der Behebung einiger der Schwachstellen werden jeweils weitere Schwachstellen adressiert (siehe 'Notes').

Schwachstellen:

CVE-2017-6519

Schwachstelle in Avahi ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-45261

Schwachstelle in patch ermöglicht Denial-of-Service-Angriff

CVE-2022-33065

Schwachstelle in libsndfile ermöglicht u. a. Denial-of-Service-Angriff

CVE-2022-37026

Schwachstelle in Erlang/OTP ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-47069

Schwachstelle in p7zip Solaris ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-38469

Schwachstelle in Avahi ermöglicht Denial-of-Service-Angriff

CVE-2023-40481

Schwachstelle in 7-Zip ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-41993

Schwachstelle in WebKit ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-42465

Schwachstelle in sudo ermöglicht Erlangen von Administratorrechten

CVE-2023-45289

Schwachstelle in Go ermöglicht Ausspähen von Informationen

CVE-2023-46218

Schwachstelle in curl ermöglicht Ausspähen von Informationen

CVE-2023-46852

Schwachstelle in memcached ermöglicht Denial-of-Service-Angriff

CVE-2023-48795

Schwachstelle in SSH 'Binary Packet Protocol' (BPP) Implementierung ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2023-50246

Schwachstelle in jq ermöglicht Denial-of-Service-Angriff

CVE-2023-50269

Schwachstelle in Squid ermöglicht Denial-of-Service-Angriff

CVE-2023-50868

Schwachstelle in ISC BIND ermöglicht Denial-of-Service-Angriff

CVE-2023-51764

Schwachstelle in Postfix ermöglicht u. a. Darstellen falscher Informationen

CVE-2023-52425

Schwachstelle in Expat (libexpat) ermöglicht Denial-of-Service-Angriff

CVE-2023-52426

Schwachstelle in Expat ermöglicht Denial-of-Service-Angriff

CVE-2023-5341

Schwachstelle in ImageMagick ermöglicht Denial-of-Service-Angriff

CVE-2023-5363

Schwachstelle in OpenSSL ermöglicht Ausspähen von Informationen

CVE-2023-5678

Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

CVE-2023-6237

Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

CVE-2023-6816

Schwachstelle in OpenBSD, Wayland und X.Org Server ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-7104

Schwachstelle in SQLite ermöglicht u. a. Denial-of-Service-Angriff

CVE-2023-7250

Schwachstelle in iperf3 ermöglicht Denial-of-Service-Angriff

CVE-2024-0690

Schwachstelle in Ansible ermöglicht Ausspähen von Informationen

CVE-2024-0853

Schwachstelle in curl ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2024-1013

Schwachstelle in unixODBC ermöglicht u. a. Denial-of-Service-Angriff

CVE-2024-2002

Schwachstelle in libdwarf ermöglicht Denial-of-Service-Angriff

CVE-2024-23638