2019-1451: Oracle Datenbankserver: Mehrere Schwachstellen ermöglichen u. a. die Übernahme von Systemkomponenten
Historie:
- Version 1 (2019-07-17 16:34)
- Neues Advisory
Betroffene Software
Server
Betroffene Plattformen
Apple
Linux
Microsoft
Oracle
UNIX
Beschreibung:
Aufgrund einer Schwachstelle in der Komponente Oracle ODBC Driver des Oracle Datenbankserver unter Windows kann ein entfernter, einfach authentisierter Angreifer die Komponente übernehmen. Ebenfalls ist eine komplette Kompromittierung der Komponente Oracle Security Service des Oracle Datenbankserver durch einen entfernten, nicht authentisierten Angreifer aufgrund einer Schwachstelle in der Subkomponente 'SSL API (RSA BSAFE)' möglich. Ein solcher Angreifer kann zudem auf allen Plattformen weitere Angriffe vornehmen. Aufgrund von Schwachstellen in den Komponenten Application Express und Core RDBMS kann ein Angreifer mit 'Valid Account'- bzw. 'Create Any Index'-Privilegien Dateien manipulieren. Weitere Schwachstellen in den Komponenten Java VM bzw. Oracle Text ermöglichen einem Angreifer mit den Privilegien 'Create Procedure' und 'Create Session' die Durchführung verschiedener Denial-of-Service (DoS)-Angriffe. Ein solcher Angriff ist ebenfalls durch einen entfernten, nicht authentisierten Angreifer möglich. Ein lokaler, einfach authentisierter Angreifer mit 'Local Logon'-Privilegien kann außerdem eine Schwachstelle in der Komponente 'Core RDBMS' ausnutzen, um Informationen auszuspähen.
Oracle stellt für Oracle Database Server Sicherheitsupdates für die betroffenen Programmversionen 5.1, 11.2.0.4, 12.1.0.2, 12.2.0.1, 18.2, 18c und 19c zur Verfügung.
Schwachstellen:
CVE-2016-9572
Schwachstelle in OpenJPEG ermöglicht Denial-of-Service-AngriffCVE-2018-11058
Schwachstelle in RSA BSAFE Micro Edition Suite ermöglicht u. a. Ausspähen von InformationenCVE-2019-2484
Schwachstelle in Oracle Datenbankserver ermöglicht Manipulation von DateienCVE-2019-2569
Schwachstelle in Oracle Datenbankserver ermöglicht Ausspähen von InformationenCVE-2019-2749
Schwachstelle in Oracle Datenbankserver ermöglicht Manipulation von Daten und Denial-of-Service-AngriffCVE-2019-2753
Schwachstelle in Oracle Datenbankserver ermöglicht Ausspähen von Informationen und Denial-of-Service-AngriffCVE-2019-2776
Schwachstelle in Oracle Datenbankserver ermöglicht Ausspähen von Informationen und Manipulation von DatenCVE-2019-2799
Schwachstelle in Oracle Datenbankserver ermöglicht Übernahme der Komponente
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.