2017-1238: Oracle Datenbankserver: Mehrere Schwachstellen ermöglichen u.a. die Übernahme von Systemkomponenten

Historie:

Version 1 (2017-07-19 12:41)

Neues Advisory

Betroffene Software

Server

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Eine Schwachstelle im Oracle Datenbankserver ermöglicht einem entfernten, authentisierten und niedrig privilegierten Angreifer die Übernahme der Kontrolle über die Oracle Java Virtual Machine (OJVM) Komponente. Eine zweite Schwachstelle ermöglicht einem lokalen, authentisierten und hoch privilegierten Angreifer die Kompromittierung der RDBMS Sicherheitskomponente des Oracle Database Servers und darüber die Manipulation von Daten. Die DBMS_LDAP Komponente ist von der unter der Bezeichnung POODLE bekannten Schwachstelle CVE-2014-3566 betroffen und die Real Application Clusters Komponente von der Schwäche in SSL/TLS (CVE-2016-2183). Beide Schwachstellen können von einem entfernten, nicht authentisierten Angreifer ausgenutzt werden, wobei die Angriffskomplexität, aber auch die Auswirkungen auf Vertraulichkeit und Integrität mit jeweils 'high' bewertet werden.

Oracle stellt Sicherheitsupdates für die betroffenen Programmversionen Oracle Database 11.2.0.4, 12.1.0.2 und 12.2.0.1 zur Verfügung.

Schwachstellen:

CVE-2014-3566

POODLE: SSL 3.0 Protokoll, wie z.B. in OpenSSL verwendet, ermöglicht das Ausspähen von Informationen

CVE-2016-2183

Schwachstelle in SSL/TLS ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2017-10120

Schwachstelle in Oracle Datenbankserver ermöglicht Manipulation von Daten

CVE-2017-10202

Schwachstelle in Oracle Datenbankserver ermöglicht Übernahme von Systemkomponente

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.