DFN-CERT

Advisory-Archiv

2016-0638: Oracle Fusion Middleware: Mehrere Schwachstellen erlauben u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2016-04-20 18:30)
Neues Advisory

Betroffene Software

Middleware
Server
Sicherheit
Systemsoftware

Betroffene Plattformen

Hardware
Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

In der Oracle Fusion Middleware befinden sich mehrere Schwachstellen in verschiedenen Komponenten, u.a. im WebLogic-, GlassFish-, iPlanet Web- und iPlanet Web Proxy Server. Durch Ausnutzen dieser Schwachstellen kann ein entfernter, nicht authentifizierter Angreifer beliebigen Programmcode zur Ausführung bringen, Dateien manipulieren, Informationen ausspähen und Denial-of-Service-Angriffe durchführen.

Die OpenSSL-Schwachstellen CVE-2015-3195 und CVE-2015-3197 werden von Oracle referenziert. Details zu den Auswirkungen auf Oracle-Produkte finden sich in den Schwachstellenbeschreibungen sowie im referenzierten Oracle Sicherheitshinweis.

Die Schwachstelle CVE-2015-7182 in Mozilla Network Security Services (NSS) ermöglicht einem entfernten, nicht authentifizierten Angreifer die komplette Kompromittierung von Oracle GlassFish Server, Oracle OpenSSO, Oracle iPlanet Web Server und Oracle iPlanet Web Proxy Server.

Die Schwachstelle CVE-2015-7547 in GNU Lib C ermöglicht einem entfernten, nicht authentifizierten Angreifer die komplette Kompromittierung der Oracle Exalogic Infrastructure.

Oracle stellt die entsprechenden Sicherheitsupdates zur Verfügung und weist darauf hin, dass in der Oracle Fusion Middleware die Oracle Database-Komponenten enthalten sind, für die seperate Sicherheitshinweise veröffentlicht wurden. Oracle empfiehlt dringend, auch die Oracle Database-Komponenten zu aktualisieren.

Schwachstellen:

CVE-2014-3576

Schwachstelle in JBoss Fuse erlaubt Denial-of-Service-Angriff

CVE-2015-3195

Schwachstelle in OpenSSL ermöglicht Ausspähen von Informationen

CVE-2015-3197

Schwachstelle in OpenSSL ermöglicht das Umgehen von Sicherheitsmaßnahmen

CVE-2015-3253

Schwachstelle in Apache Groovy erlaubt Ausführen beliebigen Programmcodes

CVE-2015-7182

Pufferüberlauf-Schwachstelle in Network Security Services ermöglicht Ausführen beliebigen Programmcodes

CVE-2015-7547

Schwachstelle in GNU Lib C ermöglicht u. a. das Ausführen beliebigen Programmcodes mit Benutzerrechten

CVE-2016-0468

Schwachstelle in Oracle Business Intelligence ermöglicht Manipulation von Dateien

CVE-2016-0479

Schwachstelle in Oracle Business Intelligence ermöglicht u.a. Manipulation von Dateien

CVE-2016-0638

Schwachstelle in Oracle WebLogic Server ermöglicht Ausführen beliebigen Programmcodes

CVE-2016-0671

Schwachstelle in Oracle HTTP Server ermöglicht Ausspähen von Informationen

CVE-2016-0675 CVE-2016-0700

Schwachstellen in Oracle WebLogic Server ermöglichen u.a. Manipulation von Dateien

CVE-2016-0688

Schwachstelle in Oracle WebLogic Server ermöglicht Manipulation von Dateien

CVE-2016-0696

Schwachstelle in Oracle WebLogic Server ermöglicht u.a. Manipulation von Dateien

CVE-2016-3416

Schwachstelle in Oracle WebLogic Server ermöglicht u.a. Manipulation von Dateien

CVE-2016-3455

Schwachstelle in Oracle Outside In Technology ermöglicht u.a. Manipulation von Dateien

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.