DFN-CERT

Advisory-Archiv

2019-0780: Oracle Datenbankserver: Mehrere Schwachstellen ermöglichen die Kompromittierung der Software

Historie:

Version 1 (2019-04-17 16:41)
Neues Advisory

Betroffene Software

Server

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Mehrere Schwachstellen im Oracle Datenbankserver ermöglichen einem entfernten, einfach authentifizierten Angreifer mit Berechtigungslevel 'DBFS_ROLE' oder 'DBA role' bzw. mit den Privilegien 'Create Session' und 'Create Procedure' die vollständige Kompromittierung der jeweils von der Schwachstelle betroffenen Komponente Core RDBMS, Java VM und RDBMS DataPump. Eine weitere Schwachstelle ermöglicht einem entfernten, nicht authentisierten Angreifer das Ausspähen von Informationen im Kontext von Core RDBMS. Zwei zusätzliche Schwachstellen ermöglichen einem lokalen, einfach authentifizierten Angreifer mit Berechtigungslevel 'Grid Infrastructure User' die Kompromittierung der Komponente Portable Clusterware. Der Angreifer kann durch einen erfolgreichen Angriff unter Ausnutzung dieser Schwachstellen sowie der erstgenannten Core RDBMS-Schwachstelle signifikanten Einfluss über die betroffene Komponente hinaus auf ein System nehmen.

Oracle stellt für Oracle Database Server Sicherheitsupdates für die betroffenen Programmversionen 11.2.0.4, 12.1.0.2, 12.2.0.1, 18c und 19c zur Verfügung.

Schwachstellen:

CVE-2019-2516 CVE-2019-2619

Schwachstellen in Oracle Datenbankserver ermöglichen Kompromittierung der Software

CVE-2019-2517

Schwachstelle in Oracle Datenbankserver ermöglicht Kompromittierung der Software

CVE-2019-2518

Schwachstelle in Oracle Datenbankserver ermöglicht Kompromittierung der Software

CVE-2019-2571

Schwachstelle in Oracle Datenbankserver ermöglicht Kompromittierung der Software

CVE-2019-2582

Schwachstelle in Oracle Datenbankserver ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.