UPDATE: DFN-CERT-2022-0110 Oracle Solaris: Mehrere Schwachstellen ermöglichen u. a. das Erlangen von Administratorrechten

UPDATE: DFN-CERT-2022-0110 Oracle Solaris: Mehrere Schwachstellen ermöglichen u. a. das Erlangen von Administratorrechten

Von

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 2 (31.01.22):
Oracle hat sein Oracle Solaris Third Party Bulletin January 2022 ergänzt
und führt nun auch die Schwachstelle CVE-2021-4034 in PolKit als behoben
auf, welche einem Angreifer mit niedrigen Privilegien bei lokaler
Ausnutzung das Erlangen von Administratorrechten ermöglicht.
Version 1 (19.01.22):
Neues Advisory

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um
Administratorrechte zu erlangen, Informationen auszuspähen,
Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen,
Denial-of-Service (DoS)-Angriffe durchzuführen und falsche Informationen
darzustellen. Für die Ausnutzung der meisten Schwachstellen sind keine
Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion
eines Benutzers. Die erfolgreiche Ausnutzung zweier Schwachstellen kann
Einfluss auf andere Komponenten haben.

Oracle gibt mit dem am Patchtag im Januar 2022 veröffentlichten ‘Oracle
Solaris Third Party Bulletin’ Hinweise zu den Schwachstellen, die mit Oracle
Solaris 11.4 Support Repository Update (SRU) 41 adressiert wurden. Der
Hersteller veröffentlicht ebenfalls Solaris 11.3 Extended Support Update
(ESU) 36.27.

Die folgenden Komponenten wurden zur Behebung der Schwachstellen
aktualisiert: Firefox auf Version 91.4.0esr, PHP 8.0 auf Version 8.0.13, PHP
7.4 auf Version 7.4.26, PHP 7.3 auf Version 7.3.33, Thunderbird auf Version
91.4.0, Wireshark auf Version 3.4.10 und GNU Mailman ohne Angabe einer
Zielversion.

Die Bewertung der Schwachstellen und die Auswirkung bei einer erfolgreichen
Ausnutzung werden durch Oracle im Kontext von Solaris zum Teil anders
bewertet als ursprünglich durch den Hersteller.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2022-0110]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team


(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

© COMPUTEC MEDIA GmbH
Nach oben