Sun Solaris többszörös sérülékenység


2010. július 15. 06:47

CH azonosító

CH-3343

Felfedezés dátuma

2010.07.13.

Súlyosság

Közepes

Érintett rendszerek

Oracle
Solaris

Érintett verziók

Oracle Solaris 8
Oracle Solaris 9
Oracle Solaris 10

Összefoglaló

Számos sérülékenységet találtak a Sun Solaris-ban, amiket kihasználva, rosszindulatú helyi felhasználók manipulálhatnak vagy illetéktelenül információkat szerezhetnek, szolgáltatás megtagadást okozhatnak (DoS – Deny of Service), valamint támadók cross-site request forgery (XSRF/CSRF) támadást hajthatnak végre, szolgáltatás megtagadást (DoS – Deny of Service) idézhetnek elő, vagy akár feltörhetik a sérülékeny rendszert.

Leírás

  1. A ToolTalk adatbázis szerver egy hibáját kihasználva, ami a távoli eljáráshívások feldolgozása közben jelentkezik, halom alapú túlcsordulást lehet okozni. A hiba sikeres kihasználása tetszőleges kód futtatását teszi lehetővé, de az érintett host-on, fájl tároláshoz való jogosultság szükséges.
  2. Az FTP Server komponens egy hibáját kihasználva, támadók cross-site request forgery attacks (XSRF/CSRF) támadást indíthatnak.
  3. Az rdist egy nem részletezett hibáját kihasználva, tetszőleges kódot lehet lefuttatni.
  4. A ZFS komponens egy nem részletezett hibáját kihasználva, helyi felhasználók manipulálhatnak bizonyos adatokat és szolgáltatás megtagadást (DoS – Deny Of Service) okozhatnak.
  5. A GigaSwift Ethernet driver egy nem részletezett hibáját kihasználva, szolgáltatás megtagadást (DoS – Deny of Service) okozhatnak.
  6. A TCP/IP komponens egy nem részletezett hibáját kihasználva, szolgáltatás megtagadást (DoS – Deny of Service) okozhatnak.
  7. A Kernel/VM komponens egy nem részletezett hibáját kihasználva, szolgáltatás megtagadást (DoS – Deny of Service) okozhatnak.
  8. A Kernel/Filesystem komponens egy nem részletezett hibáját kihasználva, szolgáltatás megtagadást (DoS – Deny of Service) okozhatnak.
  9. A Kernel/RPC komponens egy nem részletezett hibáját kihasználva, szolgáltatás megtagadást (DoS – Deny of Service) okozhatnak.
  10. A Solaris Management Console két nem részletezett hibáját kihasználva, helyi felhasználók manipulálhatnak vagy illetéktelenül információkat szerezhetnek.
  11. Az Install Software komponens egy nem részletezett hibáját kihasználva, helyi felhasználók manipulálhatnak vagy illetéktelenül információkat szerezhetnek.
  12. Az NFS komponens egy nem részletezett hibáját kihasználva, helyi felhasználók manipulálhatnak vagy illetéktelenül információkat szerezhetnek.

 

Megoldás

Telepítse a javítócsomagokat

Támadás típusa

Input manipulation (Bemenet módosítás)
Unknown (Ismeretlen)

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Local/Shell (Helyi/shell)
Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.oracle.com
Egyéb referencia: archives.neohapsis.com
CVE-2008-4247 - NVD CVE-2008-4247
CVE-2010-0083 - NVD CVE-2010-0083
CVE-2010-0916 - NVD CVE-2010-0916
CVE-2010-2376 - NVD CVE-2010-2376
CVE-2010-2382 - NVD CVE-2010-2382
CVE-2010-2383 - NVD CVE-2010-2383
CVE-2010-2384 - NVD CVE-2010-2384
CVE-2010-2386 - NVD CVE-2010-2386
CVE-2010-2392 - NVD CVE-2010-2392
CVE-2010-2393 - NVD CVE-2010-2393
CVE-2010-2394 - NVD CVE-2010-2394
CVE-2010-2399 - NVD CVE-2010-2399
CVE-2010-2400 - NVD CVE-2010-2400
SECUNIA 40602

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2022-23748 – Dante Discovery Process Control sebezhetősége
CVE-2025-0411 – 7-Zip Mark of the Web Bypass sebezhetősége
CVE-2025-0994 – Trimble Cityworks Deserialization sebezhetősége
CVE-2024-45195 – Apache OFBiz Forced Browsing sebezhetősége
CVE-2024-29059 – Microsoft .NET Framework Information Disclosure sebezhetősége
CVE-2018-9276 – Paessler PRTG Network Monitor OS Command Injection sebezhetősége
CVE-2024-40890 – Zyxel termékek OS parancsinjektálási sérülékenysége
CVE-2025-0890 – Zyxel firmware sérülékenysége
CVE-2024-40891 – Zyxel firmware sérülékenysége
Tovább a sérülékenységekhez »