2020-0100: Oracle JD Edwards: Mehrere Schwachstellen ermöglichen u. a. die komplette Kompromittierung der Software

Historie:

Version 1 (2020-01-15 12:51)

Neues Advisory

Betroffene Software

Middleware

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Mehrere Schwachstellen in den Komponenten E1 IOT Orchestrator Security, Monitoring and Diagnostics SEC und Web Runtime SEC von JD Edwards EnterpriseOne Orchestrator und JD Edwards EnterpriseOne Tools in Version 9.2 bzw. in den darin eingesetzten Produkten jackson-databind und jQuery ermöglichen einem entfernten, nicht authentisierten Angreifer die vollständige Kompromittierung der Software (Takeover) sowie das Ausspähen von Informationen und die Manipulation und das Löschen von Daten.

Oracle stellt im Rahmen des Patchtags im Januar 2020 Sicherheitsupdates zur Behebung der Schwachstellen zur Verfügung.

Schwachstellen:

CVE-2019-11358

Schwachstelle in jQuery ermöglicht Cross-Site-Scripting-Angriff

CVE-2019-12086

Schwachstelle in jackson-databind ermöglicht Ausspähen von Informationen

CVE-2019-14379

Schwachstelle in jackson-databind ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-16943

Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.