2025-1316: Oracle Solaris: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2025-05-21 13:23)

Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Oracle
UNIX

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen, einen Denial-of-Service (DoS)-Angriff durchzuführen und falsche Informationen darzustellen. Zudem kann ein Angreifer eine Schwachstelle im benachbarten Netzwerk ausnutzen, um beliebigen Programmcode auszuführen. Mehrere weitere Schwachstellen kann ein Angreifer lokal ausnutzen, um Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen, beliebigen Programmcode mit den Rechten des betroffenen Dienstes auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.

Oracle stellt mit der Revision 2 des ursprünglich am Oracle-Patchday im April 2025 veröffentlichten 'Oracle Solaris Third Party Bulletin' Hinweise zu den Schwachstellen bereit, die mit Oracle Solaris 11.4 Support Repository Update (SRU) 81 behoben wurden. Mit der Behebung einiger der Schwachstellen werden jeweils weitere Schwachstellen adressiert (siehe 'Notes').

Schwachstellen:

CVE-2017-10176

Schwachstelle in Java SE, Java SE Embedded und JRockit ermöglicht Ausspähen von Informationen

CVE-2020-10713

Schwachstelle in GRUB ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2022-2601

Schwachstelle in GNU GRUB 2 ermöglicht u. a. Denial-of-Service-Angriff

CVE-2022-28737

Schwachstelle in Shim ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-48622

Schwachstelle in GDK-PixBuf ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-40547

Schwachstelle in shim ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-45322

Schwachstelle in LibXML2 ermöglicht Denial-of-Service-Angriff

CVE-2023-4692

Schwachstelle in GNU GRUB 2 ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2024-11053

Schwachstelle in curl und libcurl ermöglicht Ausspähen von Informationen

CVE-2024-11079

Schwachstelle in Ansible ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-12133

Schwachstelle in Libtasn1 ermöglicht Denial-of-Service-Angriff

CVE-2024-25062

Schwachstelle in LibXML2 ermöglicht Denial-of-Service-Angriff

CVE-2024-34459

Schwachstelle in LibXML2 ermöglicht Ausspähen von Informationen

CVE-2024-40896

Schwachstelle in LibXML2 ermöglicht XML-External-Entity-Angriff

CVE-2024-46901

Schwachstelle in Apache Subversion ermöglicht Denial-of-Service-Angriff

CVE-2024-47537

Schwachstelle in GStreamer ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-47538

Schwachstelle in GStreamer ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-47606

Schwachstelle in GStreamer ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-50349

Schwachstelle in Git ermöglicht Darstellen falscher Informationen

CVE-2024-50602

Schwachstelle in Expat ermöglicht Denial-of-Service-Angriff

CVE-2024-50612

Schwachstelle in libsndfile ermöglicht Denial-of-Service-Angriff

CVE-2024-52615

Schwachstelle in Avahi ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2024-52616

Schwachstelle in Avahi ermöglicht Darstellen falscher Informationen

CVE-2024-53580

Schwachstelle in iperf3 ermöglicht Denial-of-Service-Angriff

CVE-2024-55605

Schwachstelle in Suricata ermöglicht Denial-of-Service-Angriff

CVE-2024-56171

Schwachstelle in LibXML2 ermöglicht u. a. Denial-of-Service-Angriff

CVE-2024-56378

Schwachstelle in Poppler ermöglicht u. a. Denial-of-Service-Angriff

CVE-2024-56826

Schwachstelle in OpenJPEG ermöglicht u. a. Denial-of-Service-Angriff

CVE-2024-57392

Schwachstelle in ProFTPD ermöglicht Denial-of-Service-Angriff

CVE-2024-57970

Schwachstelle in libarchive ermöglicht Denial-of-Service-Angriff

CVE-2025-1244

Schwachstelle in GNU Emacs ermöglicht Ausführen beliebigen Programmcodes

CVE-2025-1492

Schwachstelle in Wireshark ermöglicht Denial-of-Service-Angriff

CVE-2025-1938

Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglicht Ausführen beliebigen Programmcodes

CVE-2025-22871

Schwachstelle in Go ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2025-25186

Schwachstelle in Net::IMAP in Ruby ermöglicht Denial-of-Service-Angriff

CVE-2025-26594

Schwachstelle in X.Org Server und Xwayland ermöglicht Ausführen beliebigen Programmcodes mit den Rechten des Dienstes

CVE-2025-26699

Schwachstelle in Django ermöglicht Denial-of-Service-Angriff

CVE-2025-27219

Schwachstelle in Ruby ermöglicht Denial-of-Service-Angriff

CVE-2025-27830

Schwachstelle in Ghostscript ermöglicht Ausführen beliebigen Programmcodes

CVE-2025-3028

Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR und Thunderbird ermöglicht u. a. Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.