Datenschutzerklärung

DFN-CERT

Advisory-Archiv

2019-0111: Oracle Fusion Middleware: Mehrere Schwachstellen ermöglichen u. a. die vollständige Kompromittierung der betroffenen Software

Historie:

Version 1 (2019-01-16 18:46): Neues Advisory

Betroffene Software

Entwicklung
Netzwerk
Office
Server
Sicherheit
Systemsoftware

Betroffene Plattformen

Linux
Microsoft
Oracle
UNIX

Beschreibung:

In der Oracle Fusion Middleware existieren mehrere Schwachstellen in den Komponenten API Gateway (Subkomponente: OpenSSL), Business Process Management Suite (Bouncy Castle Java Library, JQuery), Endeca Server (OpenSSL), Enterprise Repository (12c - Bouncy Castle Java Library, Apache ActiveMQ), Fusion Middleware MapViewer (Apache Commons FileUpload), Managed File Transfer (MFT Runtime Server), Outside In Technology (JasPer, Outside In Filters), Service Architecture Leveraging Tuxedo (Spring Framework), SOA Suite (Apache Log4j), Web Cache (ESI/Partial Page Caching), WebCenter Portal (Bouncy Castle Java Library, jackson-databind, WebCenter Spaces Application) und WebLogic Server (Apache Derby, Application Container - JavaEE, Bouncy Castle Java Library, jQuery, WLS - Deployment, WLS - Web Services, WLS Core Components).

Durch Ausnutzen der Schwachstellen kann ein zumeist entfernter, nicht authentisierter Angreifer beliebigen Programmcode zur Ausführung bringen, Informationen ausspähen, einen Cross-Site-Scripting (XSS)-, einen Server-Side-Request-Forgery (SSRF)- und verschiedene Denial-of-Service (DoS)-Angriffe ausführen, Daten manipulieren, als Man-in-the-Middle (MitM) agieren, Sicherheitsvorkehrungen umgehen, Privilegien eskalieren und Komponenten der betroffenen Software oder die Software an sich kompromittieren.

Oracle weist darauf hin, dass 57 der referenzierten Schwachstellen aus der Ferne ohne Authentisierung ausgenutzt werden können. Oracle Fusion Middleware Produkte verwenden darüber hinaus Oracle Database Komponenten, für die ein eigenes Sicherheitsupdate zur Verfügung steht.

Schwachstellen:

CVE-2015-1832

Schwachstelle in Apache Derby ermöglicht Ausspähen von Informationen

CVE-2015-9251

Schwachstelle in jQuery ermöglicht Cross-Site-Scripting-Angriff

CVE-2016-1000031

Schwachstelle in Apache Commons FileUpload ermöglicht Ausführung beliebigen Programmcodes

CVE-2016-9389

Schwachstelle in JasPer ermöglicht Denial-of-Service-Angriff

CVE-2016-9392

Schwachstelle in JasPer ermöglicht Denial-of-Service-Angriff

CVE-2016-9583

Schwachstelle in JasPer ermöglicht Denial-of-Service-Angriff

CVE-2017-13745

Schwachstelle in JasPer ermöglicht Denial-of-Service-Angriff

CVE-2017-14229

Schwachstelle in JasPer ermöglicht Denial-of-Service-Angriff

CVE-2017-14735

Schwachstelle in Oracle Fusion Middleware MapViewer ermöglicht u. a. Ausspähen von Informationen

CVE-2017-5645

Schwachstelle in Apache Log4j ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-0732

Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

CVE-2018-0737

Schwachstelle in OpenSSL ermöglicht Ausspähen des privaten RSA-Schlüssels

CVE-2018-1000180

Schwachstelle in Bouncy Castle ermöglicht Ausspähen von Informationen

CVE-2018-1000613

Schwachstelle in Bouncy Castle ermöglicht Ausführung unerwarteten Programmcodes

CVE-2018-11307

Schwachstelle in jackson-databind ermöglicht Ausspähen von Informationen

CVE-2018-11775

Schwachstelle in Apache ActiveMQ Client ermöglicht Man-in-the-Middle-Angriff

CVE-2018-12022

Schwachstelle in jackson-databind ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-12023

Schwachstelle in jackson-databind ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-1258

Schwachstelle in Oracle Endeca Information Discovery Integrator / Oracle MySQL Server / Oracle Fusion Middleware ermöglicht komplette Kompromittierung der Software

CVE-2018-1270

Schwachstelle in Spring Framework ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-1271

Schwachstelle in Spring Framework ermöglicht Ausspähen von Informationen

CVE-2018-1272

Schwachstelle in Spring Framework ermöglicht Privilegieneskalation

CVE-2018-1275

Schwachstelle in Spring Framework ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-1313

Schwachstelle in Apache Derby ermöglicht Kompromittierung der Software

CVE-2018-14718

Schwachstelle in jackson-databind ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-14719

Schwachstelle in jackson-databind ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-14720

Schwachstelle in jackson-databind ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-14721

Schwachstelle in jackson-databind ermöglicht Server-Side-Request-Forgery-Angriff

CVE-2018-3147

Schwachstelle in Oracle Outside In Technology ermöglicht Ausspähen von Informationen

CVE-2018-3246

Schwachstelle in Oracle WebLogic Server ermöglicht Ausspähen von Informationen

CVE-2019-2395

Schwachstelle in Oracle WebLogic Server ermöglicht Ausspähen von Informationen und Denial-of-Service-Angriff

CVE-2019-2398

Schwachstelle in Oracle WebLogic Server ermöglicht Manipulation von Daten

CVE-2019-2413

Schwachstelle in Oracle Reports Developer ermöglicht Manipulation von Dateien und Ausspähen von Informationen

CVE-2019-2414

Schwachstelle in Oracle HTTP Server ermöglicht komplette Kompromittierung der Software

CVE-2019-2418

Schwachstelle in Oracle WebLogic Server ermöglicht u. a. Denial-of-Service-Angriff

CVE-2019-2427

Schwachstelle in Oracle WebCenter Portal ermöglicht Manipulation von Daten

CVE-2019-2429

Schwachstelle in Oracle Outside In Technology ermöglicht u. a. Denial-of-Service-Angriff

CVE-2019-2438

Schwachstelle in Oracle Web Cache ermöglicht u. a. das Ausspähen von Informationen

CVE-2019-2441

Schwachstelle in Oracle WebLogic Server ermöglicht Ausspähen von Informationen

CVE-2019-2452

Schwachstelle in Oracle WebLogic Server ermöglicht u. a. Denial-of-Service-Angriff

CVE-2019-2456

Schwachstelle in Oracle Outside In Technology ermöglicht Ausspähen von Informationen und Denial-of-Service-Angriff

CVE-2019-2457 CVE-2019-2458 CVE-2019-2459 CVE-2019-2461 CVE-2019-2472 CVE-2019-2478 CVE-2019-2480

Schwachstellen in Oracle Outside In Technology ermöglichen Denial-of-Service-Angriffe

CVE-2019-2460

Schwachstelle in Oracle Outside In Technology ermöglicht Denial-of-Service-Angriff

CVE-2019-2462

Schwachstelle in Oracle Outside In Technology ermöglicht Ausspähen von Informationen und Denial-of-Service-Angriff

CVE-2019-2463

Schwachstelle in Oracle Outside In Technology ermöglicht Manipulation von Daten und Denial-of-Service-Angriff

CVE-2019-2464 CVE-2019-2465 CVE-2019-2466

Schwachstellen in Oracle Outside In Technology ermöglichen Ausspähen von Informationen

CVE-2019-2467 CVE-2019-2468 CVE-2019-2473 CVE-2019-2474 CVE-2019-2475 CVE-2019-2476 CVE-2019-2477 CVE-2019-2479

Schwachstellen in Oracle Outside In Technology ermöglichen Denial-of-Service-Angriffe

CVE-2019-2469

Schwachstelle in Oracle Outside In Technology ermöglicht Ausspähen von Informationen und Denial-of-Service-Angriff

CVE-2019-2538

Schwachstelle in Oracle Managed File Transfer ermöglicht u. a. Manipulation von Daten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.