2018-1408: Oracle Fusion Middleware: Mehrere Schwachstellen ermöglichen u.a. die komplette Kompromittierung betroffener Komponenten

Historie:

Version 1 (2018-07-18 19:41)

Neues Advisory

Betroffene Software

Entwicklung
Middleware
Netzwerk
Office
Server
Systemsoftware

Betroffene Plattformen

Linux
Microsoft
Oracle
UNIX

Beschreibung:

In der Oracle Fusion Middleware existieren mehrere Schwachstellen in den Komponenten BI Publisher (Subkomponenten: BI Publisher Security, Layout Tools, Web Server), FMW Platform (Common Components), MapViewer (Install, Map Builder), Oracle API Gateway (OpenSSL), Oracle Business Process Management Suite (Process Analysis & Discovery), Oracle Endeca Information Discovery Studio (Jetty), Oracle Enterprise Data Quality (General), Oracle Enterprise Repository (Security Subsystem), Oracle Fusion Middleware (Oracle Notification Service), Oracle Internet Directory (SSL/TLS), Oracle JDeveloper (Bouncy Castle Java Package), Oracle Outside In Technology (Outside In Filters, Outside In Search Export SDK), Oracle SOA Suite (Health Care FastPath), Oracle Tuxedo (Core, SSL/TLS), Oracle WebCenter Portal (Portlet Services, Security Framework), Oracle WebLogic Server (Console, Core Components, JSF, SAML, Sample Apps, Web Services) und in von diesen Komponenten eingesetzten Produkten Apache Batik, Apache Log4j, Apache Tomcat, Bouncy Castle, jackson-databind, Jetty, OpenSSL, Spring Framework und zlib.

Durch Ausnutzen der Schwachstellen kann ein zumeist entfernter, nicht authentisierter Angreifer Privilegien erlangen, Informationen ausspähen, Daten manipulieren, Denial-of-Service (DoS)-Angriffe durchführen, Sicherheitsvorkehrungen umgehen und beliebigen Programmcode zur Ausführung bringen.

Oracle weist darauf hin, dass durch Ausnutzung mehrerer Schwachstellen die jeweils betroffene Komponente komplett übernommen werden kann. Dies betrifft Enterprise Data Quality, Enterprise Repository, MapViewer, Oracle WebCenter Portal, WebLogic Server und Fusion Middleware bzw. FMW Platform selbst.

Für die Schwachstellen CVE-2015-0204 und CVE-2018-2933 stellt Oracle im nicht öffentlichen Bereich der Herstellerwebseite dedizierte Hinweise zur Verfügung.

Oracle Fusion Middleware Produkte verwenden darüber hinaus Oracle Database Komponenten, für die ein eigenes Sicherheitsupdate zur Verfügung steht.

Schwachstellen:

CVE-2011-4461

Schwachstelle in Jetty ermöglicht Denial-of-Service-Angriff

CVE-2014-8157

Schwachstelle in JasPer ermöglicht Ausführung beliebigen Programmcodes

CVE-2014-9029

Schwachstelle in JasPer ermöglicht Ausführung beliebigen Programmcodes

CVE-2014-9746

Schwachstellen in FreeType ermöglichen Denial-of-Service-Angriffe

CVE-2015-0204

Schwachstelle in OpenSSL ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2015-3414

Schwachstelle in SQLite ermöglicht Ausführung beliebigen Programmcodes

CVE-2015-3415

Schwachstelle in SQLite ermöglicht Ausführung beliebigen Programmcodes

CVE-2015-3416

Schwachstelle in SQLite ermöglicht Ausführung beliebigen Programmcodes

CVE-2015-7940

Schwachstelle in Bouncy Castle ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2016-0718

Schwachstelle in Expat ermöglicht Ausführung beliebigen Programmcodes

CVE-2016-5300

Schwachstelle in Expat ermöglicht Denial-of-Service-Angriff

CVE-2016-9841

Schwachstelle in zlib ermöglicht u. a. Denial-of-Service-Angriff

CVE-2016-9843

Schwachstelle in zlib ermöglicht u. a. Denial-of-Service-Angriff

CVE-2017-10989

Schwachstelle in SQLite ermöglicht u. a. Ausspähen von Informationen

CVE-2017-12617

Schwachstelle in Apache Tomcat ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-3735

Schwachstelle in OpenSSL ermöglicht Darstellung falscher Informationen

CVE-2017-3736

Schwachstelle in OpenSSL ermöglicht Ausspähen von Informationen

CVE-2017-3738

Schwachstelle in OpenSSL ermöglicht Ausspähen von Informationen

CVE-2017-5645

Schwachstelle in Apache Log4j ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-7525

Schwachstelle in jackson-databind ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-0733

Schwachstelle in OpenSSL ermöglicht Darstellung falscher Informationen

CVE-2018-0739

Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

CVE-2018-1270

Schwachstelle in Spring Framework ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-1271

Schwachstelle in Spring Framework ermöglicht Ausspähen von Informationen

CVE-2018-1272

Schwachstelle in Spring Framework ermöglicht Privilegieneskalation

CVE-2018-1275

Schwachstelle in Spring Framework ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-2893

Schwachstelle in Oracle WebLogic Server ermöglicht komplette Kompromittierung der Software

CVE-2018-2894

Schwachstelle in Oracle WebLogic Server ermöglicht komplette Kompromittierung der Software

CVE-2018-2900

Schwachstelle in BI Publisher ermöglicht Manipulation von Daten und Ausspähen von Informationen

CVE-2018-2925

Schwachstelle in BI Publisher ermöglicht Ausspähen von Informationen

CVE-2018-2933

Schwachstelle in Oracle WebLogic Server ermöglicht Manipulation von Daten und Ausspähen von Informationen

CVE-2018-2935

Schwachstelle in Oracle WebLogic Server ermöglicht u.a. Manipulation von Daten

CVE-2018-2943

Schwachstelle in MapViewer ermöglicht komplette Kompromittierung der Software

CVE-2018-2958

Schwachstelle in BI Publisher ermöglicht Manipulation von Daten und Ausspähen von Informationen

CVE-2018-2987

Schwachstelle in Oracle WebLogic Server ermöglicht Manipulation von Daten und Ausspähen von Informationen

CVE-2018-2992 CVE-2018-3009 CVE-2018-3010 CVE-2018-3092 CVE-2018-3093 CVE-2018-3094 CVE-2018-3095

Schwachstellen in Oracle Outside In Technology ermöglichen u.a. Ausspähen von Informationen

CVE-2018-2998

Schwachstelle in Oracle WebLogic Server ermöglicht Manipulation von Daten und Ausspähen von Informationen

CVE-2018-3007

Schwachstelle in Oracle Tuxedo ermöglicht Ausspähen von Informationen

CVE-2018-3096 CVE-2018-3097 CVE-2018-3098 CVE-2018-3099 CVE-2018-3102 CVE-2018-3103 CVE-2018-3104

Schwachstellen in Oracle Outside In Technology ermöglichen u.a. Ausspähen von Informationen

CVE-2018-3100

Schwachstelle in Oracle Business Process Management Suite ermöglicht Ausspähen von Informationen und Manipulation von Daten

CVE-2018-3101

Schwachstelle in Oracle WebCenter Portal ermöglicht Ausspähen von Informationen

CVE-2018-3105

Schwachstelle in Oracle SOA Suite ermöglicht Ausspähen von Informationen

CVE-2018-3108

Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von Informationen

CVE-2018-3109

Schwachstelle in MapViewer ermöglicht Ausspähen von Informationen

CVE-2018-7489

Schwachstelle in jackson-databind ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-8013

Schwachstelle in Apache Batik ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.