DFN-CERT-2018-2116 Oracle Solaris: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

DFN-CERT-2018-2116 Oracle Solaris: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Von

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 1 (18.10.18):
Neues Advisory

Eine Schwachstelle in der von Oracle Solaris 11.3 und 11.4 genutzten
Drittanbieterkomponente X.Org ermöglicht einem nicht authentisierten
Angreifer im benachbarten Netzwerk vermutlich beliebigen Programmcode zur
Ausführung zu bringen und darüber die Vertraulichkeit, Integrität und
Verfügbarkeit des betroffenen Systems komplett zu beeinträchtigen. Mehrere
weitere Schwachstellen in PHP (EXIF), Nghttp2, Onigurama und unixODBC
ermöglichen einem entfernten, nicht authentisierten Angreifer das Bewirken
eines Denial-of-Service (DoS)-Zustandes sowie die Manipulation von Daten.

Die Bewertung der Schwachstellen und die Auswirkung bei einer erfolgreichen
Ausnutzung werden durch Oracle im Kontext von Solaris zum Teil anders
bewertet als ursprünglich durch den Hersteller.

Durch die Korrektur der fünf referenzierten Schwachstellen adressiert Oracle
ebenfalls die Schwachstellen CVE-2018-7485, CVE-2018-14883, CVE-2017-9225
bis CVE-2017-9229 und CVE-2017-12177 bis CVE-2017-12187.

Oracle stellt im Rahmen des am Oracle-Patchday im Oktober veröffentlichten
‘Oracle Solaris Third Party Bulletin’ Hinweise zu den Schwachstellen zur
Verfügung, welche mit Oracle Solaris 11.3 LSU 36 sowie 11.4 Support
Repository Update (SRU) 2 behoben wurden.

Seit dem Release von Oracle Solaris 11.4 SRU1 werden keine weiteren Oracle
Solairs 11.3 SRUs an das Support Repository mehr ausgeliefert. Alle Kunden
konnten seitdem von dem letzten ausgelieferten Support Repository Update
(SRU) 35 auf Oracle Solaris 11.4 SRU1 per ‘pkg update’ vom Support
Repository aktualisieren oder dieses herunterladen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-2116]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team


(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

© COMPUTEC MEDIA GmbH
Nach oben