2019-0110: Oracle JD Edwards: Zwei Schwachstellen ermöglichen u. a. das Ausspähen von Informationen

Historie:

Version 1 (2019-01-16 14:24)

Neues Advisory

Betroffene Software

Middleware

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in JD Edwards EnterpriseOne Tools (Apache Batik) ausnutzen, um Informationen auszuspähen und möglicherweise weitere Angriffe durchzuführen. Kontrolliert ein solcher Angreifer einen Server, zu dem ein Client eine Verbindung aufbauen möchte, kann aufgrund einer Schwachstelle in JD Edwards World Security (OpenSSL) zudem ein Absturz herbeigeführt werden, wodurch ein Denial-of-Service (DoS)-Zustand eintritt.

Oracle stellt am regulären Januar-Patchtag Sicherheitsupdates zur Behebung der Schwachstellen zur Verfügung.

Der Hersteller gibt an, dass der Fix für die Schwachstelle CVE-2018-0732 auch die Schwachstellen CVE-2017-3738, CVE-2018-0733, CVE-2018-0737 und CVE-2018-0739 adressiert.

Schwachstellen:

CVE-2018-0732

Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

CVE-2018-8013

Schwachstelle in Apache Batik ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.