DFN-CERT

Advisory-Archiv

2024-2191: Oracle Solaris: Mehrere Schwachstellen ermöglichen u. a. das Erlangen von Administratorrechten

Historie:

Version 1 (2024-08-21 13:07)
Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Oracle
UNIX

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Administratorrechte zu erlangen, Dateien zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen, einen Cross-Site-Scripting (XSS)-Angriff durchzuführen, einen Denial-of-Service (DoS)-Angriff und nicht spezifizierte Angriffe durchzuführen. Zudem kann ein Angreifer eine Schwachstelle im benachbarten Netzwerk ausnutzen, um Sicherheitsvorkehrungen zu umgehen.Mehrere weitere Schwachstellen kann ein Angreifer lokal ausnutzen, um Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen, beliebigen Programmcode mit den Rechten des angemeldeten Benutzers auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.

Oracle stellt mit der Revision 2 des ursprünglich am Oracle-Patchday im Juli 2024 veröffentlichten 'Oracle Solaris Third Party Bulletin' Hinweise zu den Schwachstellen bereit, die mit Oracle Solaris 11.4 Support Repository Update (SRU) 72 behoben wurden.

Mit der Behebung dieser Schwachstellen werden zusätzlich die in Fußnoten des Bulletins erwähnten Schwachstellen CVE-2021-44141, CVE-2022-0530, CVE-2022-32742, CVE-2022-32745, CVE-2022-32746, CVE-2022-37966, CVE-2022-38023, CVE-2023-3347, CVE-2023-34966, CVE-2023-34967, CVE-2023-34968, CVE-2023-4091, CVE-2023-51714, CVE-2023-5981, CVE-2024-2379, CVE-2024-2398, CVE-2024-2466, CVE-2024-24788, CVE-2024-24789, CVE-2024-28835, CVE-2024-29510, CVE-2024-30161, CVE-2024-30203, CVE-2024-30204, CVE-2024-30205, CVE-2024-31081, CVE-2024-31082, CVE-2024-31083, CVE-2024-33869, CVE-2024-33870 und CVE-2024-33871 behoben. Die Schwachstelle CVE-2024-3205 ist ebenfalls im Bulletin enthalten, wurde jedoch von der zuständigen Certificate Numbering Authority (CNA) wieder zurückgezogen.

Schwachstellen:

CVE-2019-13232

Schwachstelle in UnZip ermöglicht Denial-of-Service-Angriff

CVE-2021-4209

Schwachstelle in GnuTLS ermöglicht Denial-of-Service-Angriff

CVE-2022-0529

Schwachstelle in Unzip ermöglicht Denial-of-Service-Angriff

CVE-2022-32744

Schwachstelle in Samba ermöglicht Übernahme der Domäne

CVE-2023-0361

Schwachstelle in GnuTLS ermöglicht u. a. Ausspähen von Informationen

CVE-2023-38497

Schwachstelle in Cargo ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-40030

Schwachstelle in Rust ermöglicht Cross-Site-Scripting-Angriff

CVE-2023-45918

Schwachstelle in ncurses ermöglicht Denial-of-Service-Angriff

CVE-2023-46045

Schwachstelle in Graphviz ermöglicht Denial-of-Service-Angriff

CVE-2023-52722

Schwachstelle in Ghostscript ermöglicht nicht spezifizierte Angriffe

CVE-2023-5388

Schwachstelle in Network Security Services (NSS) ermöglicht Ausspähen von Informationen

CVE-2023-5981

Schwachstelle in GnuTLS ermöglicht u. a. Ausspähen von Informationen

CVE-2024-0553

Schwachstelle in GnuTLS ermöglicht Ausspähen von Informationen

CVE-2024-0567

Schwachstelle in GnuTLS ermöglicht Denial-of-Service-Angriff

CVE-2024-2004

Schwachstelle in curl ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2024-21147

Schwachstelle in Oracle JDK und Oracle Java SE Embedded ermöglicht u. a. Manipulation von Dateien

CVE-2024-22667

Schwachstelle in vim ermöglicht Denial-of-Service-Angriff

CVE-2024-24787

Schwachstelle in Go ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-24790

Schwachstelle in Go ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2024-2511

Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

CVE-2024-25111

Schwachstelle in Squid ermöglicht Denial-of-Service-Angriff

CVE-2024-25580

Schwachstelle in Bibliothek libqt5 ermöglicht Denial-of-Service-Angriff

CVE-2024-26306

Schwachstelle in iperf3 ermöglicht Ausspähen von Informationen

CVE-2024-28182

Schwachstelle in nghttp2 ermöglicht Denial-of-Service-Angriff

CVE-2024-28757

Schwachstelle in Expat ermöglicht Denial-of-Service-Angriff

CVE-2024-28834

Schwachstelle in GnuTLS ermöglicht Ausspähen von Informationen

CVE-2024-30202

Schwachstelle in GNU Emacs ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-31080

Schwachstelle in OpenBSD, X.Org Server und Xwayland ermöglicht u. a. Ausspähen von Informationen

CVE-2024-32487

Schwachstelle in GNU less ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-35195

Schwachstelle in Python Requests ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2024-39331

Schwachstelle in GNU Emacs ermöglicht Ausführen beliebigen Programmcodes mit Benutzerrechten

CVE-2024-39894

Schwachstelle in OpenBSD OpenSSH ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2024-4453

Schwachstelle in GStreamer ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-4603

Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

CVE-2024-4741

Schwachstelle in OpenSSL ermöglicht u. a. Denial-of-Service-Angriff

CVE-2024-5197

Schwachstelle in libvpx ermöglicht u. a. Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.