2018-0100: Oracle Fusion Middleware: Mehrere Schwachstellen ermöglichen u.a. die Übernahme von Anwendungen

Historie:

Version 1 (2018-01-17 17:02)

Neues Advisory

Betroffene Software

Entwicklung
Middleware
Netzwerk
Server
Sicherheit
Systemsoftware

Betroffene Plattformen

Linux
Microsoft
Oracle
UNIX

Beschreibung:

In der Oracle Fusion Middleware existieren mehrere Schwachstellen in verschiedenen Komponenten, wie z.B. WebLogic Server, Oracle JDeveloper, Oracle Directory Server Enterprise Edition, Oracle Identity Manager Connector, Oracle Access Manager, Oracle HTTP Server und vielen weiteren sowie deren Unterkomponenten. Durch Ausnutzen der Schwachstellen kann ein zumeist entfernter, auch nicht authentifizierter Angreifer Informationen ausspähen, Daten manipulieren, Denial-of-Service (DoS)- und Cross-Site-Scripting-Angriffe durchführen, Sicherheitsvorkehrungen umgehen, beliebigen Programmcode ausführen sowie die Anwendungen Oracle Directory Server Enterprise Edition, Oracle Internet Directory, Oracle iPlanet Web Server, Oracle WebLogic Server, Oracle Identity Manager, Oracle Identity Manager Connector, Oracle Endeca Information Discovery Integrator, Oracle Tuxedo System and Applications Monitor komplett übernehmen.

Oracle stellt Sicherheitsupdates für die betroffenen Produkte zur Verfügung. In der Übersicht der behobenen Schwachstellen wird CVE-2015-7501 stellvertretend für CVE-2015-4852; CVE-2016-1182 stellvertretend für CVE-2014-0114 und CVE-2016-1181; CVE-2016-2107 stellvertretend für CVE-2016-2105, CVE-2016-2106 und CVE-2016-2109; CVE-2016-2179 stellvertretend für CVE-2016-2107; CVE-2016-6304 stellvertretend für CVE-2016-2177, CVE-2016-2178, CVE-2016-2179, CVE-2016-2180, CVE-2016-2181, CVE-2016-2182, CVE-2016-2183, CVE-2016-6302, CVE-2016-6303, CVE-2016-6305, CVE-2016-6306, CVE-2016-6307, CVE-2016-6308, CVE-2016-6309 und CVE-2016-7052; CVE-2017-3732 stellvertretend für CVE-2016-2177, CVE-2016-2178, CVE-2016-2179, CVE-2016-2180, CVE-2016-2181, CVE-2016-2182, CVE-2016-2183, CVE-2016-6302, CVE-2016-6303, CVE-2016-6304, CVE-2016-6305, CVE-2016-6306, CVE-2016-6307, CVE-2016-6308, CVE-2016-6309, CVE-2016-7052, CVE-2016-7055, CVE-2017-3730, CVE-2017-3731 und CVE-2017-3733 aufgeführt.

Oracle Fusion Middleware Produkte verwenden darüber hinaus Oracle Database Komponenten, für die ein eigenes Sicherheitsupdate zur Verfügung steht.

Schwachstellen:

CVE-2015-7501

Schwachstelle in Apache Commons Collections ermöglicht Ausführung beliebigen Programmcodes

CVE-2015-7940

Schwachstelle in Bouncy Castle ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2016-0635

Schwachstelle in Oracle MySQL ermöglicht Erlangen von Administratorrechten

CVE-2016-1182

Schwachstelle in Apache Struts ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2016-2107

Schwachstelle in OpenSSL ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2016-2179

Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

CVE-2017-10068

Schwachstelle in Fusion Middleware ermöglicht Ausspähen von Informationen und Manipulation von Daten

CVE-2017-10262

Schwachstelle in Fusion Middleware ermöglicht Ausspähen von Informationen

CVE-2017-10273

Schwachstelle in Fusion Middleware ermöglicht Denial-of-Service-Angriff, Ausspähen von Informationen und Manipulation von Daten

CVE-2017-10352

Schwachstelle in Fusion Middleware ermöglicht Denial-of-Service-Angriff, Ausspähen von Informationen und Manipulation von Daten

CVE-2017-12617

Schwachstelle in Apache Tomcat ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-3732

Schwachstelle in OpenSSL ermöglicht Ausspähen von Informationen

CVE-2017-5461

Schwachstelle in Network Security Services (NSS) ermöglicht u. a. Denial-of-Service-Angriffe

CVE-2017-5645

Schwachstelle in Apache Log4j ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-9798

Schwachstelle in Apache HTTP-Server (httpd) ermöglicht Ausspähen von Informationen

CVE-2018-2561

Schwachstelle in Oracle Fusion Middleware ermöglicht einen Denial-of-Service Angriff

CVE-2018-2564 CVE-2018-2596

Schwachstellen in Fusion Middleware ermöglichen Ausspähen von Informationen und Manipulation von Daten

CVE-2018-2584

Schwachstelle in Fusion Middleware ermöglicht Ausspähen von Informationen

CVE-2018-2601

Schwachstelle in Fusion Middleware ermöglicht Übernahme einer Komponente

CVE-2018-2625

Schwachstelle in Oracle Fusion Middleware ermöglicht das Ausspähen von Informationen

CVE-2018-2711

Schwachstelle in Fusion Middleware ermöglicht Ausspähen von Informationen und Manipulation von Daten

CVE-2018-2713

Schwachstelle in Fusion Middleware ermöglicht Manipulieren von Daten

CVE-2018-2715

Schwachstelle in Fusion Middleware ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.