2018-0729: Oracle Fusion Middleware: Mehrere Schwachstellen ermöglichen u.a. die komplette Kompromittierung betroffener Komponenten
Historie:
- Version 1 (2018-04-18 19:42)
- Neues Advisory
Betroffene Software
Datensicherung
Entwicklung
Middleware
Netzwerk
Office
Server
Sicherheit
Systemsoftware
Betroffene Plattformen
Linux
Microsoft
Oracle
UNIX
Beschreibung:
In der Oracle Fusion Middleware existieren mehrere Schwachstellen in den Komponenten Access Manager, Adaptive Access Manager, Big Data Discovery, Business Intelligence Data Warehouse Administration Console, Business Intelligence Enterprise Edition, Data Visualization Desktop, Endeca Information Discovery Integrator, Endeca Information Discovery Studio, Endeca Server, Enterprise Repository, Fusion Middleware MapViewer, GoldenGate Veridata, HTTP Server, Managed File Transfer, Management Pack for Oracle GoldenGate, Mobile Security Suite, Outside In Technology, Real-Time Decisions (RTD), Security Service, Tuxedo, WebCenter Content, WebCenter Portal, WebCenter Sites, WebLogic Portal und WebLogic Server.
Die Schwachstellen bestehen sowohl in den von diesen Komponenten eingesetzten Produkten Apache Batik, Apache Commons Collections, Apache Commons Fileupload, Apache Groovy, Apache Log4j, Apache MyFaces Trinidad, Apache OpenJPA, Apache Tomcat, Bouncy Castle, jackson-databind und OpenSSL als auch in produkteigenen Subkomponenten.
Durch Ausnutzen der Schwachstellen kann ein zumeist entfernter, auch nicht authentifizierter Angreifer Informationen ausspähen, Daten manipulieren, Denial-of-Service (DoS)-Angriffe durchführen, Sicherheitsvorkehrungen umgehen und beliebigen Programmcode ausführen. Oracle weist darauf hin, dass durch Ausnutzung mehrerer Schwachstellen die jeweils betroffene Komponente komplett übernommen werden kann. Dies betrifft Access Manager, Big Data Discovery, Business Intelligence Data Warehouse Administration Console, Business Intelligence Enterprise Edition, Endeca Information Discovery Integrator, Endeca Server, Enterprise Repository, Fusion Middleware MapViewer, GoldenGate Veridata, Managed File Transfer, Management Pack for Oracle GoldenGate, Real-Time Decisions (RTD), WebCenter Portal, WebCenter Sites, WebLogic Portal und WebLogic Server.
Für die Schwachstellen CVE-2018-2834 und CVE-2018-2879 stellt Oracle im nicht öffentlichen Bereich der Herstellerwebseite dedizierte Hinweise zur Verfügung.
Oracle Fusion Middleware Produkte verwenden darüber hinaus Oracle Database Komponenten, für die ein eigenes Sicherheitsupdate zur Verfügung steht.
Schwachstellen:
CVE-2013-1768
Schwachstelle in Apache OpenJPA ermöglicht Ausführung beliebigen ProgrammcodesCVE-2015-7501
Schwachstelle in Apache Commons Collections ermöglicht Ausführung beliebigen ProgrammcodesCVE-2015-7940
Schwachstelle in Bouncy Castle ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2016-3092
Schwachstelle in Apache Tomcat ermöglicht Denial-of-Service-AngriffCVE-2016-5019
Schwachstelle in Apache MyFaces Trinidad ermöglicht Ausführung beliebigen ProgrammcodesCVE-2016-6814
Schwachstelle in Apache Groovy ermöglicht Ausführung beliebigen ProgrammcodesCVE-2016-8745
Schwachstelle in Apache Tomcat ermöglicht Ausspähen von InformationenCVE-2017-12617
Schwachstelle in Apache Tomcat ermöglicht Ausführung beliebigen ProgrammcodesCVE-2017-15095
Schwachstelle in jackson-databind ermöglicht Ausführung beliebigen ProgrammcodesCVE-2017-15707
Schwachstelle in JSON-lib ermöglicht Denial-of-Service-AngriffCVE-2017-3735
Schwachstelle in OpenSSL ermöglicht Darstellung falscher InformationenCVE-2017-3736
Schwachstelle in OpenSSL ermöglicht Ausspähen von InformationenCVE-2017-3737
Schwachstelle in OpenSSL ermöglicht Ausspähen von InformationenCVE-2017-3738
Schwachstelle in OpenSSL ermöglicht Ausspähen von InformationenCVE-2017-5645
Schwachstelle in Apache Log4j ermöglicht Ausführung beliebigen ProgrammcodesCVE-2017-5662
Schwachstelle in Apache Batik ermöglicht Ausspähen von Informationen und Denial-of-Service-AngriffCVE-2017-5664
Schwachstelle in Apache Tomcat ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2017-7525
Schwachstelle in jackson-databind ermöglicht Ausführung beliebigen ProgrammcodesCVE-2017-7674
Schwachstelle in Apache Tomcat ermöglicht nicht spezifizierte AngriffeCVE-2018-2587
Schwachstelle in Oracle Access Manager ermöglicht Manipulation von Daten und Ausspähen von InformationenCVE-2018-2628
Schwachstelle in Oracle WebLogic Server ermöglicht ermöglicht komplette Kompromittierung der SoftwareCVE-2018-2739
Schwachstelle in Oracle Access Manager ermöglicht Ausspähen von Informationen und Manipulation von DatenCVE-2018-2760
Schwachstelle in Oracle HTTP Server ermöglicht Ausspähen von InformationenCVE-2018-2765
Schwachstelle in Oracle Security Service ermöglicht Ausspähen von InformationenCVE-2018-2768
Schwachstelle in Oracle Outside In Technology ermöglicht Ausspähen von Informationen und Denial-of-Service-AngriffCVE-2018-2770
Schwachstelle in Oracle Adaptive Access Manager ermöglicht Ausspähen von Informationen und Manipulation von DatenCVE-2018-2791
Schwachstelle in Oracle WebCenter Sites ermöglicht Ausspähen von Informationen und Manipulation von DatenCVE-2018-2801
Schwachstelle in Oracle Outside In Technology ermöglicht Ausspähen von Informationen und Denial-of-Service-AngriffCVE-2018-2806
Schwachstelle in Oracle Outside In Technology ermöglicht Ausspähen von Informationen und Denial-of-Service-AngriffCVE-2018-2828
Schwachstelle in Oracle WebCenter Content ermöglicht u.a. Ausspähen von InformationenCVE-2018-2834
Schwachstelle in Oracle Data Visualization Desktop ermöglicht u.a. Denial-of-Service-AngriffCVE-2018-2879
Schwachstelle in Oracle Access Manage ermöglicht komplette Kompromittierung der Software
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.