2017-1236: Oracle Fusion Middleware: Mehrere Schwachstellen ermöglichen u.a. die Übernahme verschiedener Anwendungen

Historie:

Version 1 (2017-07-19 14:43)

Neues Advisory

Betroffene Software

Entwicklung
Middleware
Netzwerk
Office
Server
Sicherheit
Systemsoftware

Betroffene Plattformen

Linux
Microsoft
Oracle
UNIX

Beschreibung:

In der Oracle Fusion Middleware existieren mehrere Schwachstellen in verschiedenen Komponenten, u.a. WebLogic Server, Endeca Server, WebCenter Content, Enterprise Data Quality, Tuxedo, Tuxedo System and Applications Monitor, Enterprise Repository, Traffic Director, OpenSSO, API Gateway, Service Bus und BI Publisher sowie deren Unterkomponenten. Durch Ausnutzen der Schwachstellen kann ein zumeist entfernter, auch nicht authentifizierter Angreifer Informationen ausspähen, Dateien manipulieren, Denial-of-Service (DoS)-Angriffe durchführen sowie die Anwendungen Tuxedo System and Applications Monitor, WebLogic Server, Enterprise Data Quality, Enterprise Repository, Data Integrator, OpenSSO, Endeca Server und Traffic Director komplett übernehmen.

Oracle stellt Sicherheitsupdates für die betroffenen Produkte zur Verfügung. In der Übersicht der behobenen Schwachstelle wird CVE-2015-7501 stellvertretend für die Schwachstelle CVE-2011-2730 aufgeführt, CVE-2015-7940 stellvertretend für CVE-2015-7501 und CVE-2016-5019, CVE-2016-2834 stellvertretend für CVE-2016-1950 und CVE-2016-1979 sowie CVE-2017-3732 stellvertretend für CVE-2016-7055 und CVE-2017-3731.

Oracle Fusion Middleware Produkte verwenden darüber hinaus Oracle Database Komponenten, für die ein eigenes Sicherheitsupdate zur Verfügung steht.

Schwachstellen:

CVE-2011-2730

Schwachstelle in SpringSource Spring Framework ermöglicht Ausführung beliebigen Programmcodes

CVE-2013-2027

Schwachstelle in Jython ermöglicht das Ausführen beliebigen Programmcodes

CVE-2014-3566

POODLE: SSL 3.0 Protokoll, wie z.B. in OpenSSL verwendet, ermöglicht das Ausspähen von Informationen

CVE-2015-3253

Schwachstelle in Apache Groovy erlaubt Ausführen beliebigen Programmcodes

CVE-2015-5254

Schwachstelle in Apache ActiveMQ ermöglicht Ausführen beliebigen Programmcodes

CVE-2015-7501

Schwachstelle in Apache Commons Collections ermöglicht Ausführung beliebigen Programmcodes

CVE-2015-7940

Schwachstelle in Bouncy Castle ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2016-0635

Schwachstelle in Oracle MySQL ermöglicht Erlangen von Administratorrechten

CVE-2016-1950

Schwachstelle in NSS / Security ermöglicht Ausführen beliebigen Programmcodes mit Benutzerrechten

CVE-2016-1979

Schwachstelle in Mozilla Firefox ermöglicht Ausführen beliebigen Programmcodes

CVE-2016-2834

Schwachstellen in Network Security Services ermöglichen nicht spezifizierte Angriffe

CVE-2016-3092

Schwachstelle in Apache Tomcat ermöglicht Denial-of-Service-Angriff

CVE-2016-5019

Schwachstelle in Apache MyFaces Trinidad ermöglicht Ausführung beliebigen Programmcodes

CVE-2016-7055

Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

CVE-2017-10024

Schwachstelle in Fusion Middleware ermöglicht Ausspähen von Informationen und Manipulieren von Daten

CVE-2017-10025 CVE-2017-10043 CVE-2017-10156 CVE-2017-10157

Schwachstellen in Fusion Middleware ermöglichen Ausspähen von Informationen und Manipulieren von Daten

CVE-2017-10028 CVE-2017-10029 CVE-2017-10030 CVE-2017-10035 CVE-2017-10041

Schwachstellen in Fusion Middleware ermöglichen Ausspähen von Informationen und Manipulieren von Daten

CVE-2017-10040

Schwachstelle in Fusion Middleware ermöglicht Ausspähen von Informationen und Manipulieren von Daten

CVE-2017-10048

Schwachstelle in Fusion Middleware ermöglicht Ausspähen von Informationen und Manipulieren von Daten

CVE-2017-10058

Schwachstelle in Fusion Middleware ermöglicht Ausspähen von Informationen und Manipulieren von Daten

CVE-2017-10059

Schwachstelle in Fusion Middleware ermöglicht Ausspähen von Informationen und Manipulieren von Daten

CVE-2017-10063

Schwachstelle in Fusion Middleware ermöglicht u.a. Manipulieren von Daten

CVE-2017-10075

Schwachstelle in Fusion Middleware ermöglicht Ausspähen von Informationen und Manipulieren von Daten

CVE-2017-10119

Schwachstelle in Fusion Middleware ermöglicht Ausspähen von Informationen und Manipulieren von Daten

CVE-2017-10123

Schwachstelle in Fusion Middleware ermöglicht Ausspähen von Informationen

CVE-2017-10137

Schwachstelle in Fusion Middleware ermöglicht Übernahme einer Komponente

CVE-2017-10141

Schwachstelle in Fusion Middleware ermöglicht u.a. Denial-of-Service-Angriff

CVE-2017-10147

Schwachstelle in Fusion Middleware ermöglicht Denial-of-Service-Angriff

CVE-2017-10148

Schwachstelle in Fusion Middleware ermöglicht Manipulieren von Daten

CVE-2017-10178

Schwachstelle in Fusion Middleware ermöglicht Ausspähen von Informationen und Manipulieren von Daten

CVE-2017-10196

Schwachstelle in Fusion Middleware ermöglicht u.a. Denial-of-Service-Angriff

CVE-2017-3731

Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

CVE-2017-3732

Schwachstelle in OpenSSL ermöglicht Ausspähen von Informationen

CVE-2017-5638

Schwachstelle in Apache Struts ermöglicht Ausführung beliebigen Programmcodes mit den Rechten des Dienstes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.