2018-2103: Oracle Fusion Middleware: Mehrere Schwachstellen ermöglichen u. a. die komplette Kompromittierung betroffener Komponenten
Historie:
- Version 1 (2018-10-17 19:49)
- Neues Advisory
- Version 2 (2018-12-19 13:03)
- Oracle informiert in einer Aktualisierung des Sicherheitshinweises zum Update im Oktober darüber, dass Oracle Outside In Technology auch in Version 8.5.4 von den Schwachstellen betroffen ist. Ursprünglich wurde hier nur Version 8.5.3 genannt.
Betroffene Software
Entwicklung
Middleware
Netzwerk
Office
Server
Sicherheit
Systemsoftware
Betroffene Plattformen
Linux
Microsoft
Oracle
UNIX
Beschreibung:
In der Oracle Fusion Middleware existieren mehrere Schwachstellen in den Komponenten BI Publisher (Subkomponente: BI Publisher Security: Apache Log4j), API Gateway (Subkomponente: Apache Log4j), Big Data Discovery (Subkomponente: Data Processing: Spring Framework), GoldenGate for Big Data (Subkomponente Spring Framework), Identity Manager (Subkomponenten: Installer: jackson-databind und Advanced Console), WebLogic Server (Subkomponenten Core Components, Sample apps: Spring Framework, Web Services, Docker Images und Console), Endeca Information Discovery Integrator (Subkomponenten: Spring Framework und Integrator ETL), GlassFish Server (Subkomponenten: Java Server Faces und Administration), Adaptive Access Manager (Subkomponente: OAAM Server: Apache Struts 1), Real-Time Decision Server (Subkomponente: Platform Installation: Apache Struts 1), Business Intelligence Enterprise Edition (Subkomponenten: Analytics Server und Apache Batik), Directory Server Enterprise Edition (Subkomponente: Admin Console: Sun Security Libraries), HTTP Server (Subkomponente: Web Listener: curl), Tuxedo (Subkomponente: Docs-ATMI-IB: OpenSSL), Enterprise Repository (Subkomponente: Security Subsystem - 12c: Apache Batik), Outside In Technology (Subkomponenten: Outside In Filters und Outside In Filters: ODA Module), WebCenter Sites (Subkomponenten: Advanced UI: Apache Tomcat und jQuery), Endeca Server (Subkomponente: Product Code: OpenSSL), Endeca Information Discovery Studio (Subkomponente: Studio: jQuery), Service Bus (Subkomponente: OSB Core Functionality: jQuery), Fusion Middleware MapViewer (Subkomponente: Install: AntiSamy), WebCenter Portal (Subkomponente: WebCenter Spaces Application), Virtual Directory (Subkomponente: Virtual Directory Manager) und in den von diesen Komponenten eingesetzten Produkten Apache Batik, Apache Log4j, Apache Struts, Apache Tomcat, jackson-databind, OpenSSL, Spring Framework, cURL, AntiSamy und jQuery.
Weiterhin referenziert Oracle zusätzlich die folgenden Schwachstellen ohne nähere Informationen bezüglich der Auswirkungen in Bezug auf Oracle Produkte: CVE-2014-0114 und CVE-2016-1181 (Apache Struts), CVE-2017-7525 und CVE-2018-7489 (jackson-databind), CVE-2018-0737, CVE-2017-3738 und CVE-2018-0733 (OpenSSL), CVE-2018-1000120, CVE-2018-1000121, CVE-2018-1000122 und CVE-2018-1000301 (cURL), CVE-2018-11039, CVE-2018-11040, CVE-2018-1257, CVE-2018-1270, CVE-2018-1271 und CVE-2018-1272 (Spring Framework) und CVE-2018-1304 (Apache Tomcat). Diese Schwachstellen werden ebenfalls durch die bereitgestellten Sicherheitsupdates behoben.
Durch Ausnutzen der Schwachstellen kann ein zumeist entfernter, nicht authentisierter Angreifer Privilegien erlangen, Informationen ausspähen, Daten manipulieren, Denial-of-Service (DoS)-Angriffe durchführen, Sicherheitsvorkehrungen umgehen, beliebigen Programmcode zur Ausführung bringen sowie Cross-Site-Scripting (XSS)-Angriffe durchführen.
Oracle weist darauf hin, das 56 der referenzierten Schwachstellen aus der Ferne ohne Authentisierung ausgenutzt werden können. Mehrere dieser Schwachstellen eignen sich zudem für eine komplette Kompromittierung der Komponente.
Oracle Fusion Middleware Produkte verwenden darüber hinaus Oracle Database Komponenten, für die ein eigenes Sicherheitsupdate zur Verfügung steht.
Schwachstellen:
CVE-2015-9251
Schwachstelle in jQuery ermöglicht Cross-Site-Scripting-AngriffCVE-2016-1182
Schwachstelle in Apache Struts ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2017-14735
Schwachstelle in Oracle Fusion Middleware MapViewer ermöglicht u. a. Ausspähen von InformationenCVE-2017-15095
Schwachstelle in jackson-databind ermöglicht Ausführung beliebigen ProgrammcodesCVE-2017-5645
Schwachstelle in Apache Log4j ermöglicht Ausführung beliebigen ProgrammcodesCVE-2017-7805
Schwachstelle in NSS ermöglicht Denial-of-Service-AngriffCVE-2018-0732
Schwachstelle in OpenSSL ermöglicht Denial-of-Service-AngriffCVE-2018-0739
Schwachstelle in OpenSSL ermöglicht Denial-of-Service-AngriffCVE-2018-1000300
Schwachstelle in cURL ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-1258
Schwachstelle in Oracle Endeca Information Discovery Integrator / Oracle MySQL Server / Oracle Fusion Middleware ermöglicht komplette Kompromittierung der SoftwareCVE-2018-1275
Schwachstelle in Spring Framework ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-1305
Schwachstelle in Apache Tomcat ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2018-18223
Schwachstelle in Oracle Outside In Technology ermöglicht u. a. Denial-of-Service-AngriffCVE-2018-18223 CVE-2018-18224
Schwachstellen in Oracle Outside In Technology ermöglichen u. a. Denial-of-Service-AngriffCVE-2018-2902
Schwachstelle in Oracle WebLogic Server ermöglicht Ausspähen von InformationenCVE-2018-2911
Schwachstelle in Oracle GlassFish Server ermöglicht u. a. Ausspähen von InformationenCVE-2018-3147
Schwachstelle in Oracle Outside In Technology ermöglicht Ausspähen von InformationenCVE-2018-3152
Schwachstelle in Oracle GlassFish Server ermöglicht Denial-of-Service-AngriffCVE-2018-3168
Schwachstelle in Oracle Identity Analytics ermöglicht u. a. Manipulation von DateienCVE-2018-3179
Schwachstelle in Oracle Identity Manager ermöglicht u. a. Ausspähen von InformationenCVE-2018-3191 CVE-2018-3197 CVE-2018-3201 CVE-2018-3245 CVE-2018-3252
Schwachstellen in Oracle WebLogic Server ermöglichen komplette Kompromittierung der SoftwareCVE-2018-3204
Schwachstelle in Oracle Business Intelligence Enterprise Edition ermöglicht u. a. Ausspähen von InformationenCVE-2018-3210
Schwachstelle in Oracle GlassFish Server ermöglicht Ausspähen von InformationenCVE-2018-3213
Schwachstelle in Oracle WebLogic Server ermöglicht Ausspähen von InformationenCVE-2018-3215
Schwachstelle in Oracle Endeca Information Discovery Integrator ermöglicht u. a. Ausspähen von InformationenCVE-2018-3217 CVE-2018-3218
Schwachstellen in Oracle Outside In Technology ermöglichen u. a. Ausspähen von InformationenCVE-2018-3219 CVE-2018-3220
Schwachstellen in Oracle Outside In Technology ermöglichen u. a. Ausspähen von InformationenCVE-2018-3221 CVE-2018-3222 CVE-2018-3223 CVE-2018-3224 CVE-2018-3225 CVE-2018-3226 CVE-2018-3227
Schwachstellen in Oracle Outside In Technology ermöglichen u. a. Denial-of-Service-AngriffCVE-2018-3228 CVE-2018-3229 CVE-2018-3230 CVE-2018-3231 CVE-2018-3232 CVE-2018-3233 CVE-2018-3234
Schwachstellen in Oracle Outside In Technology ermöglichen u. a. Denial-of-Service-AngriffCVE-2018-3238
Schwachstelle in Oracle WebCenter Sites ermöglicht u. a. Ausspähen von InformationenCVE-2018-3246
Schwachstelle in Oracle WebLogic Server ermöglicht Ausspähen von InformationenCVE-2018-3248
Schwachstelle in Oracle WebLogic Server ermöglicht Ausspähen von InformationenCVE-2018-3249
Schwachstelle in Oracle WebLogic Server ermöglicht Ausspähen von InformationenCVE-2018-3250
Schwachstelle in Oracle WebLogic Server ermöglicht u. a. Ausspähen von InformationenCVE-2018-3253
Schwachstelle in Oracle Virtual Directory ermöglicht u. a. Ausspähen von InformationenCVE-2018-3254
Schwachstelle in Oracle WebCenter Portal ermöglicht Ausspähen von InformationenCVE-2018-3302
Schwachstelle in Oracle Outside In Technology ermöglicht u. a. Denial-of-Service-AngriffCVE-2018-8013
Schwachstelle in Apache Batik ermöglicht Ausspähen von Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.