2016-1166: Oracle Fusion Middleware: Mehrere Schwachstellen ermöglichen u.a. die Übernahme verschiedener Anwendungen

Historie:

Version 1 (2016-07-20 17:25)

Neues Advisory

Betroffene Software

Entwicklung
Middleware
Netzwerk
Office
Server
Sicherheit
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

In der Oracle Fusion Middleware befinden sich mehrere Schwachstellen in verschiedenen Komponenten, u.a. dem Oracle WebLogic und GlassFish Server, der Oracle Outside In Technology und Oracle Business Intelligence. Durch Ausnutzen dieser Schwachstellen kann ein zumeist entfernter, nicht authentifizierter Angreifer Informationen ausspähen, Dateien manipulieren und Denial-of-Service-Angriffe durchführen sowie die Anwendungen Oracle GlassFish Server, Oracle JDeveloper, Oracle TopLink, Oracle WebCenter Sites und Oracle WebLogic Server komplett übernehmen. Zwei Schwachstellen im Oracle Directory Server und Oracle Portal ermöglichen dem Angreifer darüber hinaus die Ausführung beliebigen Programmcodes. Der Oracle Access Manager ist von einer Schwachstelle in OpenSSL betroffen, durch die der Angreifer Sicherheitsvorkehrungen umgehen kann.

Oracle stellt Sicherheitsupdates für die betroffenen Produkte zur Verfügung und weist darauf hin, dass der Fix für CVE-2015-7182 auch die Schwachstellen CVE-2015-2721, CVE-2015-4000, CVE-2015-7181, CVE-2015-7183 und CVE-2015-7575 adressiert (Network Security Services). Der Fix für CVE-2016-1181 umfasst CVE-2016-1182 (Apache Struts); der für CVE-2016-1548 umfasst CVE-2015-7979, CVE-2016-1547, CVE-2016-1550, CVE-2016-2108, CVE-2016-2518, CVE-2016-4051, CVE-2016-4052 sowie CVE-2016-4053 (NTP, OpenSSL, Squid) und der Fix für CVE-2016-2107 behebt auch CVE-2016-2105, CVE-2016-2106, CVE-2016-2109 und CVE-2016-2176 (OpenSSL).

Schwachstellen:

CVE-2015-3237

Schwachstelle in cURL und libcurl ermöglicht das Ausspähen von Informationen

CVE-2015-7182

Pufferüberlauf-Schwachstelle in Network Security Services ermöglicht Ausführen beliebigen Programmcodes

CVE-2016-1181

Schwachstelle in Apache Struts ermöglicht u.a. Ausführung beliebigen Programmcodes

CVE-2016-1548

Schwachstelle in NTP ermöglicht Fälschen von Zeitinformationen

CVE-2016-2107

Schwachstelle in OpenSSL ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2016-3432

Schwachstelle in BI Publisher ermöglicht Manipulation von Dateien

CVE-2016-3433

Schwachstelle in Oracle Business Intelligence Enterprise Edition ermöglicht Manipulation von Dateien

CVE-2016-3445

Schwachstelle in Oracle WebLogic Server ermöglicht Denial-of-Service-Angriff

CVE-2016-3446

Schwachstelle in Oracle Business Intelligence Enterprise Edition ermöglicht u.a. Manipulation von Dateien

CVE-2016-3474

Schwachstelle in BI Publisher ermöglicht Ausspähen von Informationen

CVE-2016-3482

Schwachstelle in Oracle HTTP Server ermöglicht Ausspähen von Informationen

CVE-2016-3487

Schwachstelle in Oracle WebCenter Sites ermöglicht Übernahme der Anwendung

CVE-2016-3499

Schwachstelle in Oracle WebLogic Server ermöglicht Übernahme der Anwendung

CVE-2016-3502

Schwachstelle in Oracle WebCenter Sites ermöglicht u.a. Manipulation von Dateien

CVE-2016-3504

Schwachstelle in Oracle JDeveloper ermöglicht Übernahme der Anwendung

CVE-2016-3510 CVE-2016-3586

Schwachstellen in Oracle WebLogic Server ermöglichen Übernahme der Anwendung

CVE-2016-3544

Schwachstelle in Oracle Business Intelligence Enterprise Edition ermöglicht u.a. Manipulation von Dateien

CVE-2016-3564

Schwachstelle in Oracle TopLink ermöglicht Übernahme der Anwendung

CVE-2016-3574 CVE-2016-3575 CVE-2016-3576 CVE-2016-3577 CVE-2016-3578

Schwachstellen in Oracle Outside In Technology ermöglichen u.a. Manipulation von Dateien

CVE-2016-3579 CVE-2016-3580 CVE-2016-3581 CVE-2016-3582 CVE-2016-3583

Schwachstellen in Oracle Outside In Technology ermöglichen u.a. Manipulation von Dateien

CVE-2016-3590 CVE-2016-3591 CVE-2016-3592 CVE-2016-3593 CVE-2016-3594 CVE-2016-3595 CVE-2016-3596

Schwachstellen in Oracle Outside In Technology ermöglichen u.a. Manipulation von Dateien

CVE-2016-3607

Schwachstelle in Oracle GlassFish Server ermöglicht Übernahme der Anwendung

CVE-2016-3608

Schwachstelle in Oracle GlassFish Server ermöglicht Ausspähen von Informationen

CVE-2016-5477

Schwachstelle in Oracle GlassFish Server ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.