2017-1822: Oracle Datenbankserver: Mehrere Schwachstellen ermöglichen u.a. die Übernahme von Systemkomponenten

Historie:

Version 1 (2017-10-18 16:28): Neues Advisory

Betroffene Software

Server

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Zwei Schwachstellen im Oracle Datenbankserver ermöglichen einem entfernten, nicht authentisierten Angreifer die Übernahme der Komponente Spatialn (Apache Groovy) bzw. WLM (Apache Tomcat). Zwei weitere Schwachstellen ermöglichen einem lokalen, mehrfach authentisierten Angreifer die vollständige Übernahme der Systemkomponente Java VM sowie die Veränderung von Daten in der Komponente RDBMS Security. Ein lokaler, einfach authentisierter Angreifer kann die Komponente RDBMS übernehmen und Informationen ausspähen.

Oracle stellt Sicherheitsupdates für die betroffenen Programmversionen Oracle Database Server 11.2.0.4, 12.1.0.2 und 12.2.0.1 zur Verfügung. Mit der Behebung der Schwachstelle CVE-2016-8735 (Apache Tomcat) in Oracle Database Server werden auch die Schwachstellen CVE-2016-6816 und CVE-2016-8745 adressiert.

Schwachstellen:

CVE-2016-6814

Schwachstelle in Apache Groovy ermöglicht Ausführung beliebigen Programmcodes

CVE-2016-6816

Schwachstelle in Apache Tomcat ermöglicht Ausspähen von Informationen

CVE-2016-8735

Schwachstelle in Apache Tomcat ermöglicht Ausführen beliebigen Programmcodes

CVE-2016-8745

Schwachstelle in Apache Tomcat ermöglicht Ausspähen von Informationen

CVE-2017-10190

Schwachstelle in Oracle Datenbankserver ermöglicht Übernahme von Systemkomponenten

CVE-2017-10261

Schwachstelle in Oracle Datenbankserver ermöglicht das Ausspähen von Informationen

CVE-2017-10292

Schwachstelle in Oracle Datenbankserver ermöglicht die Manipulation von Daten

CVE-2017-10321