2019-0778: Oracle E-Business Suite: Mehrere Schwachstellen ermöglichen u. a. die Manipulation von Daten
Historie:
- Version 1 (2019-04-17 19:18)
- Neues Advisory
- Version 2 (2019-05-02 12:13)
- Oracle weist in einer Aktualisierung des Sicherheitshinweises vom April 2019 darauf hin, dass die Schwachstellen CVE-2019-2633 und CVE-2019-2638 auch für Denial-of-Service (DoS)-Angriffe ausgenutzt werden können.
Betroffene Software
Middleware
Betroffene Plattformen
HP
IBM
Linux
Microsoft
Oracle
UNIX
Beschreibung:
In der Oracle E-Business Suite existieren mehrere Schwachstellen in den Komponenten Oracle Advanced Outbound Telephony (Subkomponente User Interface), Oracle Applications Framework (Attachments / File Upload), Oracle Common Applications (CRM User Management Framework), Oracle CRM Technical Foundation (Preferences), Oracle Oracle Email Center (Message Display), Oracle Oracle Interaction Center Intelligence (Business Intelligence (OLTP)), Oracle iStore (Shopping Cart), Oracle Oracle iSupplier Portal (Attachments), Oracle Knowledge Management (Setup, Admin), Oracle Marketing (Marketing Administration), Oracle One-to-One Fulfillment (Print Server), Oracle Territory Management (Territory Administration), Oracle Trade Management (User Interface), Oracle General Ledger (Consolidation Hierarchy Viewer), Oracle Work in Process (Messages), Oracle Application Object Library (Diagnostics) und Application Server (Technology Stack Triage (OpenSSL)).
Durch die erfolgreiche Ausnutzung der Schwachstellen kann ein entfernter, nicht authentisierter Angreifer Informationen ausspähen und Daten manipulieren. Oracle weist darauf hin, dass 33 der referenzierten Schwachstellen aus der Ferne ohne Authentisierung ausgenutzt werden können.
Zur Behebung der Schwachstellen stellt Oracle Sicherheitsupdates für die E-Business Suite bereit. Der Hersteller verweist ferner auf die aktuellen Sicherheitsupdates für Oracle Database und Oracle Fusion Middleware. Die E-Business Suite greift auf diese Produkte zurück und ist von den dort genannten Schwachstellen ebenfalls betroffen. Weiterhin informiert Oracle darüber, dass das Sicherheitsupdate für CVE-2018-0734 auch die Schwachstellen CVE-2018-0735 und CVE-2018-5407 adressiert.
Schwachstellen:
CVE-2018-0734
Schwachstelle in OpenSSL ermöglicht Ausspähen des privaten SchlüsselsCVE-2019-2551 CVE-2019-2603 CVE-2019-2653 CVE-2019-2654
Schwachstellen in Oracle E-Business Suite ermöglichen u. a. Ausspähen von InformationenCVE-2019-2583 CVE-2019-2652 CVE-2019-2655 CVE-2019-2660 CVE-2019-2662 CVE-2019-2663 CVE-2019-2665 CVE-2019-2682
Schwachstellen in Oracle E-Business Suite ermöglichen u. a. Ausspähen von InformationenCVE-2019-2600 CVE-2019-2651 CVE-2019-2661
Schwachstellen in Oracle E-Business Suite ermöglichen u. a. Ausspähen von InformationenCVE-2019-2604 CVE-2019-2664 CVE-2019-2677
Schwachstellen in Oracle E-Business Suite ermöglichen u. a. Ausspähen von InformationenCVE-2019-2621
Schwachstelle in Oracle E-Business Suite ermöglicht Manipulation von DatenCVE-2019-2622
Schwachstelle in Oracle E-Business Suite ermöglicht Manipulation von DatenCVE-2019-2633
Schwachstelle in Oracle E-Business Suite ermöglicht u. a. Manipulation von DatenCVE-2019-2638
Schwachstelle in Oracle E-Business Suite ermöglicht u. a. Manipulation von DatenCVE-2019-2639 CVE-2019-2671 CVE-2019-2675
Schwachstellen in Oracle E-Business Suite ermöglichen u. a. Ausspähen von InformationenCVE-2019-2640 CVE-2019-2641 CVE-2019-2642 CVE-2019-2643
Schwachstellen in Oracle E-Business Suite ermöglichen u. a. Ausspähen von InformationenCVE-2019-2669 CVE-2019-2676
Schwachstellen in Oracle E-Business Suite ermöglichen Manipulation von DatenCVE-2019-2670 CVE-2019-2673
Schwachstellen in Oracle E-Business Suite ermöglichen Manipulation von DatenCVE-2019-2674
Schwachstelle in Oracle E-Business Suite ermöglicht Manipulation von Daten
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.