2026-0218: Oracle Solaris: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes mit den Rechten des Dienstes
Historie:
- Version 1 (2026-01-21 10:16)
- Neues Advisory
- Version 2 (2026-01-22 06:45)
- Der Hersteller hat das Oracle Solaris 11.3 Extended Support Updates (ESU) 36.35 zur Behebung der referenzierten Schwachstellen nachgetragen.
Betroffene Software
Systemsoftware
Betroffene Plattformen
Oracle
UNIX
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, beliebigen Programmcode auszuführen, beliebigen Programmcode mit den Rechten des betroffenen Dienstes auszuführen, einen Cross-Site-Scripting (XSS)-Angriff durchzuführen, einen Denial-of-Service (DoS)-Angriff durchzuführen und falsche Informationen darzustellen. Zudem kann ein Angreifer zwei Schwachstellen im benachbarten Netzwerk ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen und falsche Informationen darzustellen. Zwei weitere Schwachstellen kann ein Angreifer lokal ausnutzen, um beliebigen Programmcode auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen.
Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.
Im Rahmen des Patchtags im Januar 2026 stellt Oracle mit dem 'Oracle Solaris Third Party Bulletin' Hinweise zu den Schwachstellen bereit, die mit Oracle Solaris 11.4 Support Repository Update (SRU) 89 behoben wurden.
Mit der Behebung einiger der Schwachstellen werden noch weitere Schwachstellen adressiert (siehe 'Notes').
Schwachstellen:
CVE-2019-18860
Schwachstelle in Squid ermöglicht Cross-Site-Scripting-AngriffCVE-2025-10230
Schwachstelle in Samba ermöglicht Ausführen beliebigen Programmcodes mit den Rechten des DienstesCVE-2025-11021
Schwachstelle in GNOME LibSoup ermöglicht Ausspähen von InformationenCVE-2025-11411
Schwachstelle in Unbound ermöglicht Darstellen falscher InformationenCVE-2025-11626
Schwachstelle in Wireshark ermöglicht Denial-of-Service-AngriffCVE-2025-12105
Schwachstelle in libsoup ermöglicht Denial-of-Service-AngriffCVE-2025-13372
Schwachstelle in Django ermöglicht Ausspähen von InformationenCVE-2025-13499
Schwachstelle in Wireshark ermöglicht Denial-of-Service-AngriffCVE-2025-14321
Schwachstelle in Mozilla Firefox, Mozilla Firefox ESR, Thunderbird und Thunderbird ESR ermöglicht Ausführen beliebigen ProgrammcodesCVE-2025-55753
Schwachstelle in Apache httpd ermöglicht Denial-of-Service-AngriffCVE-2025-5994
Schwachstelle in Unbound ermöglicht Darstellen falscher InformationenCVE-2025-61984
Schwachstelle in OpenBSD OpenSSH ermöglicht Ausführen beliebigen ProgrammcodesCVE-2025-62168
Schwachstelle in Squid ermöglicht Ausspähen von Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.