2017-1821: Oracle Fusion Middleware: Mehrere Schwachstellen ermöglichen u.a. die Übernahme von Anwendungen
Historie:
- Version 1 (2017-10-18 19:04)
- Neues Advisory
Betroffene Software
Entwicklung
Middleware
Netzwerk
Office
Server
Sicherheit
Systemsoftware
Betroffene Plattformen
Linux
Microsoft
Oracle
UNIX
Beschreibung:
In der Oracle Fusion Middleware existieren mehrere Schwachstellen in verschiedenen Komponenten, wie z.B. WebLogic Server, Oracle BI Publisher, Oracle JDeveloper, Oracle Directory Server Enterprise Edition, Oracle Identity Manager Connector, Oracle Access Manager, Oracle GlassFish Server, Oracle HTTP Server und vielen weiteren sowie deren Unterkomponenten. Durch Ausnutzen der Schwachstellen kann ein zumeist entfernter, auch nicht authentifizierter Angreifer Informationen ausspähen, Daten manipulieren, Denial-of-Service (DoS)- und Cross-Site-Scripting-Angriffe durchführen, Sicherheitsvorkehrungen umgehen, beliebigen Programmcode ausführen sowie die Anwendungen WebLogic Server und Oracle Virtual Directory komplett übernehmen.
Oracle stellt Sicherheitsupdates für die betroffenen Produkte zur Verfügung. In der Übersicht der behobenen Schwachstellen wird CVE-2015-2808 stellvertretend für die Schwachstelle CVE-2013-2566 aufgeführt, CVE-2016-0714 stellvertretend für CVE-2015-5351, CVE-2016-0706 und CVE-2016-0763 sowie CVE-2016-1181 stellvertretend für CVE-2014-0114, CVE-2015-0899 und CVE-2016-1182 sowie CVE-2016-2834 stellvertretend für CVE-2016-1950, CVE-2016-1979.
Oracle Fusion Middleware Produkte verwenden darüber hinaus Oracle Database Komponenten, für die ein eigenes Sicherheitsupdate zur Verfügung steht.
Schwachstellen:
CVE-2003-1418
Schwachstelle im Apache HTTP-Server ermöglicht das Ausspähen von InformationenCVE-2013-2566
Schwäche von TLS durch Verwendung von RC4CVE-2014-0114
Schwachstelle in Apache Struts ermöglicht Ausführung beliebigen ProgrammcodesCVE-2015-0899
Schwachstelle in Struts ermöglicht Umgehen von SicherheitsmaßnahmenCVE-2015-2808
Schwachstelle in der TLS/SSL-Protokoll-ImplementierungCVE-2015-5254
Schwachstelle in Apache ActiveMQ ermöglicht Ausführen beliebigen ProgrammcodesCVE-2015-5351
Schwachstelle in Apache Tomcat ermöglicht Cross-Site-Request-Forgery-AngriffCVE-2015-7501
Schwachstelle in Apache Commons Collections ermöglicht Ausführung beliebigen ProgrammcodesCVE-2015-7940
Schwachstelle in Bouncy Castle ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2016-0635
Schwachstelle in Oracle MySQL ermöglicht Erlangen von AdministratorrechtenCVE-2016-0706
Schwachstelle in Apache Tomcat ermöglicht Ausspähen von InformationenCVE-2016-0714
Schwachstelle in Apache Tomcat ermöglicht Ausführung beliebigen ProgrammcodesCVE-2016-0763
Schwachstelle in Apache Tomcat ermöglicht Manipulation von DateienCVE-2016-1181
Schwachstelle in Apache Struts ermöglicht u.a. Ausführung beliebigen ProgrammcodesCVE-2016-1182
Schwachstelle in Apache Struts ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2016-1950
Schwachstelle in NSS / Security ermöglicht Ausführen beliebigen Programmcodes mit BenutzerrechtenCVE-2016-1979
Schwachstelle in Mozilla Firefox ermöglicht Ausführen beliebigen ProgrammcodesCVE-2016-2183
Schwachstelle in SSL/TLS ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2016-2834
Schwachstellen in Network Security Services ermöglichen nicht spezifizierte AngriffeCVE-2016-3092
Schwachstelle in Apache Tomcat ermöglicht Denial-of-Service-AngriffCVE-2016-6814
Schwachstelle in Apache Groovy ermöglicht Ausführung beliebigen ProgrammcodesCVE-2017-10026
Schwachstelle in Fusion Middleware ermöglicht Ausspähen von Informationen und Manipulieren von DatenCVE-2017-10033
Schwachstelle in Fusion Middleware ermöglicht Ausspähen von Informationen und Manipulieren von DatenCVE-2017-10034
Schwachstelle in Fusion Middleware ermöglicht Ausspähen von Informationen und Manipulieren von DatenCVE-2017-10037
Schwachstelle in Fusion Middleware ermöglicht Ausspähen von InformationenCVE-2017-10051
Schwachstelle in Fusion Middleware ermöglicht Denial-of-Service-AngriffCVE-2017-10055
Schwachstelle in Fusion Middleware ermöglicht Ausspähen von Informationen und Manipulieren von DatenCVE-2017-10060
Schwachstelle in Fusion Middleware ermöglicht Ausspähen von Informationen und Manipulieren von DatenCVE-2017-10152
Schwachstelle in Fusion Middleware ermöglicht Ausspähen von InformationenCVE-2017-10154
Schwachstelle in Fusion Middleware ermöglicht Ausspähen von InformationenCVE-2017-10163
Schwachstelle in Fusion Middleware ermöglicht Ausspähen von Informationen und Manipulieren von DatenCVE-2017-10166
Schwachstelle in Fusion Middleware ermöglicht Manipulieren von DatenCVE-2017-10259
Schwachstelle in Fusion Middleware ermöglicht Ausspähen von InformationenCVE-2017-10270
Schwachstelle in Fusion Middleware ermöglicht Manipulieren von Daten und Denial-of-Service-AngriffCVE-2017-10271
Schwachstelle in Fusion Middleware ermöglicht Übernahme einer KomponenteCVE-2017-10334
Schwachstelle in Fusion Middleware ermöglicht Ausspähen von InformationenCVE-2017-10336
Schwachstelle in Fusion Middleware ermöglicht Manipulieren von DatenCVE-2017-10352
Schwachstelle in Fusion Middleware ermöglicht Denial-of-Service-Angriff, Ausspähen von Informationen und Manipulation von DatenCVE-2017-10360
Schwachstelle in Fusion Middleware ermöglicht Ausspähen von Informationen und Manipulieren von DatenCVE-2017-10369
Schwachstelle in Fusion Middleware ermöglicht Übernahme einer KomponenteCVE-2017-10385
Schwachstelle in Fusion Middleware ermöglicht u.a. Manipulieren von DatenCVE-2017-10391
Schwachstelle in Fusion Middleware ermöglicht u.a. Manipulieren von DatenCVE-2017-10393
Schwachstelle in Fusion Middleware ermöglichtu.a. Manipulieren von DatenCVE-2017-10400
Schwachstelle in Fusion Middleware ermöglicht Ausspähen von Informationen und Manipulieren von DatenCVE-2017-5662
Schwachstelle in Apache Batik ermöglicht Ausspähen von Informationen und Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.