2019-1455: Oracle Fusion Middleware: Mehrere Schwachstellen ermöglichen u. a. die komplette Kompromittierung der betroffenen Software

Historie:

Version 1 (2019-07-17 17:51)

Neues Advisory

Version 2 (2019-07-18 12:42)

Oracle weist darauf hin, dass von der kritischen Schwachstelle CVE-2019-2856 nur WebLogic Server Version 12.2.1.3.0 (P-5242V-12.2.1.3.0) betroffen ist. Ursprünglich wurden hier auch die Versionen 10.3.6.0.0 und 12.1.3.0.0 genannt.

Betroffene Software

Entwicklung
Middleware
Netzwerk
Office
Server
Sicherheit
Systemsoftware

Betroffene Plattformen

Linux
Microsoft
Oracle
UNIX

Beschreibung:

In der Oracle Fusion Middleware existieren mehrere Schwachstellen in einer Vielzahl von Komponenten. Hervorzuheben sind Schwachstellen in den Komponenten Oracle Security Service, Oracle SOA Suite, Oracle WebCenter Sites und Oracle WebLogic Server, die einem entfernten, nicht authentisierten Angreifer die vollständige Kompromittierung der betroffenen Software ermöglichen. Darüber hinaus kann ein solcher Angreifer Informationen ausspähen, Daten manipulieren und Denial-of-Service (DoS)-Angriffe durchführen. Einige wenige Schwachstellen erfordern dabei niedrige oder erweiterte Privilegien auf betroffenen Systemen, eine der Schwachstellen kann nur lokal ausgenutzt werden.

Oracle veröffentlicht mit dem Patchtag im Juli 2019 Sicherheitsupdates für die betroffenen Komponenten. Der Hersteller weist darauf hin, dass mit diesen Updates auch die bereits vorab veröffentlichten kritischen Schwachstellen CVE-2019-2725 und CVE-2019-2729 im WebLogic Server adressiert werden.

Schwachstellen:

CVE-2015-9251

Schwachstelle in jQuery ermöglicht Cross-Site-Scripting-Angriff

CVE-2016-0701

Schwachstelle in OpenSSL ermöglicht das Ausspähen von Informationen

CVE-2016-1000031

Schwachstelle in Apache Commons FileUpload ermöglicht Ausführung beliebigen Programmcodes

CVE-2016-2183

Schwachstelle in SSL/TLS ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2016-3473

Schwachstelle in BI Publisher ermöglicht Ausspähen von Informationen

CVE-2016-6306

Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

CVE-2016-6814

Schwachstelle in Apache Groovy ermöglicht Ausführung beliebigen Programmcodes

CVE-2016-7103

Schwachstelle in jQuery-UI ermöglicht Cross-Site-Scripting-Angriff

CVE-2016-8610

Schwachstelle in OpenSSL / GnuTLS ermöglicht Denial-of-Service-Angriff

CVE-2017-5645

Schwachstelle in Apache Log4j ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-0734

Schwachstelle in OpenSSL ermöglicht Ausspähen des privaten Schlüssels

CVE-2018-0735

Schwachstelle in OpenSSL ermöglicht Ausspähen des privaten Schlüssels

CVE-2018-1000180

Schwachstelle in Bouncy Castle ermöglicht Ausspähen von Informationen

CVE-2018-1000613

Schwachstelle in Bouncy Castle ermöglicht Ausführung unerwarteten Programmcodes

CVE-2018-11054

Schwachstelle in RSA BSAFE Micro Edition Suite ermöglicht Denial-of-Service-Angriff

CVE-2018-11055

Schwachstelle in RSA BSAFE Micro Edition Suite ermöglicht Ausspähen von Informationen

CVE-2018-11056

Schwachstelle in RSA BSAFE Micro Edition Suite ermöglicht Denial-of-Service-Angriff

CVE-2018-11057

Schwachstelle in RSA BSAFE Micro Edition Suite ermöglicht Ausspähen von Informationen

CVE-2018-11058

Schwachstelle in RSA BSAFE Micro Edition Suite ermöglicht u. a. Ausspähen von Informationen

CVE-2018-15756

Schwachstelle in Spring Framework ermöglicht Denial-of-Service-Angriff

CVE-2018-15769

Schwachstelle in RSA BSAFE Micro Edition Suite ermöglicht Denial-of-Service-Angriff

CVE-2018-5407

Schwachstelle in Simultaneous Multi-Threading (SMT) ermöglicht Ausspähen von Informationen

CVE-2018-8013

Schwachstelle in Apache Batik ermöglicht Ausspähen von Informationen

CVE-2019-0211

Schwachstelle in Apache HTTP Server ermöglicht Ausführen beliebigen Programmcodes

CVE-2019-0222

Schwachstelle in Apache ActiveMQ ermöglicht Denial-of-Service-Angriff

CVE-2019-1559

Schwachstelle in OpenSSL ermöglicht Ausspähen von Informationen

CVE-2019-2725

Schwachstelle in Oracle WebLogic Server ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-2729

Schwachstelle in Oracle WebLogic Server ermöglicht Übernahme der Komponente

CVE-2019-2742

Schwachstelle in BI Publisher ermöglicht Manipulation von Daten und Ausspähen von Informationen

CVE-2019-2751

Schwachstelle in Oracle HTTP Server ermöglicht Ausspähen von Informationen

CVE-2019-2756 CVE-2019-2759 CVE-2019-2764 CVE-2019-2792 CVE-2019-2835 CVE-2019-2852 CVE-2019-2853 CVE-2019-2854 CVE-2019-2855

Schwachstellen in Oracle Outside In Technology ermöglichen u. a. Denial-of-Service-Angriffe

CVE-2019-2767

Schwachstelle in BI Publisher ermöglicht Manipulation von Daten und Ausspähen von Informationen

CVE-2019-2768

Schwachstelle in BI Publisher ermöglicht Ausspähen von Informationen

CVE-2019-2771

Schwachstelle in BI Publisher ermöglicht u. a. Manipulation von Daten

CVE-2019-2824 CVE-2019-2827

Schwachstellen in Oracle WebLogic Server ermöglichen u. a. Ausspähen von Informationen

CVE-2019-2856

Schwachstelle in Oracle WebLogic Server ermöglicht komplette Kompromittierung der Software

CVE-2019-2858

Schwachstelle in Oracle Identity Manager ermöglicht Manipulation von Daten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.