2019-1450: Oracle JD Edwards: Mehrere Schwachstellen ermöglichen u. a. die vollständige Kompromittierung der Software
Historie:
- Version 1 (2019-07-17 13:03)
- Neues Advisory
Betroffene Software
Middleware
Betroffene Plattformen
Apple
Linux
Microsoft
Oracle
UNIX
Beschreibung:
Mehrere Schwachstellen in den Komponenten Enterprise Infrastructure SEC, Installation SEC, Monitoring and Diagnostics und Web Runtime der JD Edwards EnterpriseOne Tools 9.2 bzw. in den darin eingesetzten Produkten Apache Log4j, jackson-databind und OpenSSL ermöglichen einem entfernten, nicht authentisierten Angreifer die vollständige Kompromittierung der Software sowie den Lesezugriff auf alle der von JD Edwards EnterpriseOne Tools erreichbaren Daten und weitere kritische Daten. Die Schwachstellen in OpenSSL betreffen auch JD Edwards World Technical Foundation A9.3, A9.3.1 und A9.4.
Oracle stellt im Rahmen des Patchtags im Juli 2019 Sicherheitsupdates zur Behebung der Schwachstellen zur Verfügung.
Schwachstellen:
CVE-2017-5645
Schwachstelle in Apache Log4j ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-0734
Schwachstelle in OpenSSL ermöglicht Ausspähen des privaten SchlüsselsCVE-2018-0735
Schwachstelle in OpenSSL ermöglicht Ausspähen des privaten SchlüsselsCVE-2018-19360
Schwachstelle in jackson-databind ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-19361
Schwachstelle in jackson-databind ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-19362
Schwachstelle in jackson-databind ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-5407
Schwachstelle in Simultaneous Multi-Threading (SMT) ermöglicht Ausspähen von InformationenCVE-2019-1559
Schwachstelle in OpenSSL ermöglicht Ausspähen von Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.