2020-0101: Oracle PeopleSoft Products: Mehrere Schwachstellen ermöglichen u. a. die komplette Kompromittierung der Software

Historie:

Version 1 (2020-01-16 12:28)

Neues Advisory

Betroffene Software

Entwicklung
Middleware

Betroffene Plattformen

Linux
Microsoft
Oracle
UNIX

Beschreibung:

Aufgrund mehrerer Schwachstellen in PeopleSoft Enterprise PeopleTools, PeopleSoft Enterprise CC Common Application Objects, libffi, Apache POI, Apache Commons Collections, Oracle Fusion Middleware, OpenSSL und Oracle WebLogic Server ist es einem zumeist entfernten, nicht authentisierten Angreifer möglich, die Software komplett zu übernehmen, beliebigen Programmcode zur Ausführung zu bringen, Daten zu manipulieren, Informationen auszuspähen und einen Denial-of-Service (DoS)-Angriff durchzuführen.

Der Hersteller gibt an, dass mit der Behebung verschiedener Schwachstellen weitere Probleme adressiert wurden. Der Patch für CVE-2017-15708 adressiert auch CVE-2019-10086, der Patch für CVE-2019-0227 adressiert auch CVE-2018-8032, der Patch für CVE-2019-1547 adressiert auch CVE-2019-1549, CVE-2019-1552 und CVE-2019-1563 und der Patch für CVE-2019-2729 adressiert auch CVE-2019-2725.

Oracle stellt im Zuge des Patchtages im Januar 2020 Sicherheitsupdates für die Oracle PeopleSoft Produkte zur Behebung der Schwachstellen bereit.

Schwachstellen:

CVE-2017-1000376

Schwachstelle in libffi ermöglicht Ausführung beliebigen Pogrammcodes

CVE-2017-12626

Schwachstelle in Apache POI ermöglicht Denial-of-Service-Angriff

CVE-2017-15708

Schwachstelle in Apache Commons Collections ermöglicht komplette Kompromittierung der Software

CVE-2019-0227

Schwachstelle in Oracle Fusion Middleware, Oracle Secure Global Desktop, Oracle PeopleSoft ermöglicht komplette Kompromittierung der Software

CVE-2019-1547

Schwachstelle in OpenSSL ermöglicht Ausspähen von Informationen

CVE-2019-2729

Schwachstelle in Oracle WebLogic Server ermöglicht Übernahme der Komponente

CVE-2020-2561

Schwachstelle in PeopleSoft Enterprise PeopleTools ermöglicht Ausspähen von Informationen

CVE-2020-2598

Schwachstelle in PeopleSoft Enterprise PeopleTools ermöglicht u. a. Manipulation von Dateien

CVE-2020-2600

Schwachstelle in PeopleSoft Enterprise PeopleTools ermöglicht u. a. Manipulation von Dateien

CVE-2020-2602

Schwachstelle in PeopleSoft Enterprise PeopleTools ermöglicht u. a. Manipulation von Dateien

CVE-2020-2606 CVE-2020-2607 CVE-2020-2663

Schwachstellen in PeopleSoft Enterprise PeopleTools ermöglichen u. a. Manipulation von Dateien

CVE-2020-2687

Schwachstelle in PeopleSoft Enterprise PeopleTools ermöglicht Ausspähen von Informationen

CVE-2020-2695

Schwachstelle in PeopleSoft Enterprise ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.