2025-0509: Oracle Solaris: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2025-02-26 09:38)

Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Oracle
UNIX

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Benutzerrechte zu erlangen, Dateien zu manipulieren, Informationen auszuspähen, Privilegien zu eskalieren, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Zudem kann ein Angreifer eine Schwachstelle im benachbarten Netzwerk ausnutzen, um beliebigen Programmcode auszuführen. Mehrere Schwachstellen kann ein Angreifer lokal ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, Privilegien zu eskalieren, beliebigen Programmcode auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung zweier Schwachstellen kann Einfluss auf andere Komponenten haben.

Oracle stellt mit der Revision 2 des ursprünglich am Oracle-Patchday im Januar 2025 veröffentlichten 'Oracle Solaris Third Party Bulletin' Hinweise zu den Schwachstellen bereit, die mit Oracle Solaris 11.4 Support Repository Update (SRU) 78 behoben wurden. Mit der Behebung einiger der Schwachstellen werden jeweils weitere Schwachstellen adressiert (siehe 'Notes').

Schwachstellen:

CVE-2015-1197

Schwachstelle in GNU cpio ermöglicht Manipulation von Dateien

CVE-2016-1938

Schwachstelle in Mozilla NSS ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-12404

Schwachstelle in Network Security Services (NSS) ermöglicht Ausspähen des Klartextes verschlüsselter Informationen

CVE-2019-11729

Schwachstelle in Mozilla Firefox, Firefox ESR, NSS und Thunderbird ermöglicht Denial-of-Service-Angriff

CVE-2020-12400

Schwachstelle in Network Security Services (NSS) ermöglicht Ausspähen von Informationen

CVE-2020-6829

Schwachstelle in Network Security Services (NSS) ermöglicht Ausspähen von Informationen

CVE-2022-21271

Schwachstelle in Oracle Java SE ermöglicht Denial-of-Service-Angriff

CVE-2023-1972

Schwachstelle in GNU Binutils und Insight ermöglicht Denial-of-Service-Angriff

CVE-2023-20569

Schwachstelle in AMD-Prozessoren ermöglicht Ausspähen von Informationen

CVE-2023-49582

Schwachstelle in Apache Portable Runtime (APR) ermöglicht Ausspähen von Informationen

CVE-2023-6135

Schwachstelle in Mozilla Firefox ermöglicht Erlangen von Benutzerrechten

CVE-2024-11053

Schwachstelle in curl und libcurl ermöglicht Ausspähen von Informationen

CVE-2024-11612

Schwachstelle in p7zip ermöglicht Denial-of-Service-Angriff

CVE-2024-12085

Schwachstelle in rsync ermöglicht Ausspähen von Informationen

CVE-2024-12254

Schwachstelle in Python ermöglicht Denial-of-Service-Angriff

CVE-2024-34155

Schwachstelle in Go ermöglicht Denial-of-Service-Angriff

CVE-2024-36474

Schwachstelle in GNOME Structured File Library ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-39936

Schwachstelle in Bibliothek libqt5 und libqt6 ermöglicht u. a. Umgehen von Sicherheitsvorkehrungen

CVE-2024-45491

Schwachstelle in Expat ermöglicht Denial-of-Service-Angriff

CVE-2024-45797

Schwachstelle in LibHTP ermöglicht Denial-of-Service-Angriff

CVE-2024-46951

Schwachstelle in Ghostscript ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-48651

Schwachstelle in ProFTPD ermöglicht Ausspähen von Informationen

CVE-2024-48957

Schwachstelle in libarchive ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-50379

Schwachstelle in Apache Tomcat ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-52530

Schwachstelle in GNOME LibSoup ermöglicht Manipulation von Dateien

CVE-2024-52531

Schwachstelle in GNOME LibSoup ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-52532

Schwachstelle in GNOME LibSoup ermöglicht Denial-of-Service-Angriff

CVE-2024-52533

Schwachstelle in GNOME GLib ermöglicht u. a. Denial-of-Service-Angriff

CVE-2024-56201

Schwachstelle in Jinja2 ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-56732

Schwachstelle in HarfBuzz ermöglicht u. a. Denial-of-Service-Angriff

CVE-2024-6345

Schwachstelle in Python Setuptools ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-8508

Schwachstelle in Unbound ermöglicht Denial-of-Service-Angriff

CVE-2024-9632

Schwachstelle in OpenBSD, X.Org Server und Xwayland ermöglicht u. a. Privilegieneskalation

CVE-2024-9681

Schwachstelle in curl und libcurl ermöglicht u. a. Ausspähen von Informationen

CVE-2025-0237

Schwachstelle in Mozilla Firefox und Mozilla Firefox ESR ermöglicht Privilegieneskalation

CVE-2025-0509

Schwachstelle in Oracle Java SE für macOS ermöglicht komplette Kompromittierung der Software

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.