DFN-CERT

Advisory-Archiv

2019-2160: Oracle NoSQL Database: Mehrere Schwachstellen ermöglichen u. a. die Kompromittierung der Software

Historie:

Version 1 (2019-10-16 13:59)
Neues Advisory

Betroffene Software

Server

Betroffene Plattformen

Linux
Oracle
UNIX

Beschreibung:

Mehrere Schwachstellen in der Komponente jackson-databind von NoSQL ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes, das Ausspähen von Informationen und einen Server-Side-Request-Forgery (SSRF)-Angriff. Neben den Schwachstellen in jackson-databind werden weitere Schwachstellen in jackson-modules-java8 und Apache Thrift aufgeführt, die einem entfernten, nicht authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen und einen Denial-of-Service (DoS)-Angriff sowie einem entfernten, einfach authentisierten Angreifer das Ausspähen von Informationen ermöglichen.

Oracle informiert über die Schwachstellen in Oracle NoSQL Database und stellt die Version 19.3.12 als Sicherheitsupdate zur Verfügung. Im zugehörigen Sicherheitshinweis wird die Schwachstelle CVE-2018-14721 explizit aufgeführt, da diese laut Oracle zur vollständigen Kompromittierung der betroffenen Software ausgenutzt werden kann.

Schwachstellen:

CVE-2018-1000873

Schwachstelle in jackson-modules-java8 ermöglicht Denial-of-Service-Angriff

CVE-2018-11798

Schwachstelle in Apache Thrift ermöglicht Ausspähen von Informationen

CVE-2018-1320

Schwachstelle in Apache Thrift ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-14718

Schwachstelle in jackson-databind ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-14719

Schwachstelle in jackson-databind ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-14720

Schwachstelle in jackson-databind ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-14721

Schwachstelle in jackson-databind ermöglicht Server-Side-Request-Forgery-Angriff

CVE-2018-19360

Schwachstelle in jackson-databind ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-19361

Schwachstelle in jackson-databind ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-19362

Schwachstelle in jackson-databind ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-12086

Schwachstelle in jackson-databind ermöglicht Ausspähen von Informationen

CVE-2019-12384

Schwachstelle in jackson-databind ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2019-12814

Schwachstelle in jackson-databind ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.