DFN-CERT

Advisory-Archiv

2019-0777: Oracle JD Edwards: Mehrere Schwachstellen ermöglichen u. a. die vollständige Kompromittierung der Software

Historie:

Version 1 (2019-04-17 18:41)
Neues Advisory

Betroffene Software

Middleware

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Mehrere Schwachstellen in den Komponenten Enterprise Infrastructure SEC, EnterpriseOne Mobility Sec, Monitoring and Diagnostics und Web Runtime der JD Edwards EnterpriseOne Tools 9.2 bzw. in den darin eingesetzten Produkten Apache Log4j, jackson-databind, OpenSSL und jQuery ermöglichen einem entfernten, nicht authentisierten Angreifer die vollständige Kompromittierung der Software, einen Denial-of-Service (DoS)-Angriff, den Lesezugriff auf eine Untermenge der von JD Edwards EnterpriseOne Tools erreichbaren Daten und den Schreibzugriff auf alle der so erreichbaren und weitere kritische Daten. Eine der Schwachstellen in der Komponente Web Runtime lässt sich nur nach erfolgter Authentifizierung ausnutzen. Eine weitere Schwachstelle in der Komponente Service Enablement von JD Edwards World Technical Foundation A9.2, A9.3.1 und A9.4 ermöglicht dem Angreifer den Lesezugriff auf sämtliche über die Software erreichbaren sowie weitere kritische Daten.

Oracle stellt im Rahmen des Patchtages im April 2019 Sicherheitsupdates zur Behebung der Schwachstellen zur Verfügung.

Schwachstellen:

CVE-2015-9251

Schwachstelle in jQuery ermöglicht Cross-Site-Scripting-Angriff

CVE-2017-5645

Schwachstelle in Apache Log4j ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-0732

Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

CVE-2018-0737

Schwachstelle in OpenSSL ermöglicht Ausspähen des privaten RSA-Schlüssels

CVE-2018-11307

Schwachstelle in jackson-databind ermöglicht Ausspähen von Informationen

CVE-2018-12022

Schwachstelle in jackson-databind ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-12023

Schwachstelle in jackson-databind ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-2564

Schwachstelle in JD Edwards EnterpriseOne Tools ermöglicht Ausspähen von Informationen

CVE-2019-2565

Schwachstelle in JD Edwards World ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.