2020-0772: Oracle Fusion Middleware: Mehrere Schwachstellen ermöglichen u. a. die komplette Kompromittierung der betroffenen Software

Historie:

Version 1 (2020-04-16 14:54)

Neues Advisory

Version 2 (2020-05-04 10:36)

Oracle informiert darüber, dass bereits gegen mehrere der im April veröffentlichten Schwachstellen Angriffe durchgeführt werden. Der Hersteller stellt CVE-2020-2883 als aktiv ausgenutzte Schwachstelle in verschiedenen Versionen von Oracle WebLogic Server heraus und empfiehlt dringend, die Sicherheitsupdates einzuspielen.

Betroffene Software

Entwicklung
Middleware
Netzwerk
Server
Sicherheit
Systemsoftware

Betroffene Plattformen

Linux
Microsoft
Oracle
UNIX

Beschreibung:

In der Oracle Fusion Middleware existieren mehrere Schwachstellen in einer Vielzahl von Komponenten. Hervorzuheben sind Schwachstellen in den Komponenten Oracle Business Intelligence Enterprise Edition, Oracle Coherence, Oracle Fusion Middleware MapViewer, Oracle Global Lifecycle Management NextGen OUI Framework, Oracle Outside In Technology, Oracle WebCenter Portal, Oracle WebCenter Sites, Oracle WebLogic Server, Oracle Business Process Management Suite und Oracle HTTP Server, die einem entfernten Angreifer die vollständige Kompromittierung der betroffenen Software ermöglichen. Darüber hinaus kann ein solcher Angreifer beliebigen Programmcode ausführen, Sicherheitsvorkehrungen umgehen, Daten manipulieren, Informationen ausspähen und Cross-Site-Scripting (XSS)- sowie Denial-of-Service (DoS)-Angriffe durchführen. Ein erfolgreicher Angriff erfordert in einigen Fällen die Interaktion eines Benutzers und hat zum Teil signifikanten Einfluss auf andere Komponenten des Systems.

Oracle veröffentlicht mit dem Patch-Tag im April 2020 Sicherheitsupdates für die betroffenen Komponenten.

Schwachstellen:

CVE-2015-7940

Schwachstelle in Bouncy Castle ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2016-1000031

Schwachstelle in Apache Commons FileUpload ermöglicht Ausführung beliebigen Programmcodes

CVE-2016-10328

Schwachstelle in FreeType ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-12626

Schwachstelle in Apache POI ermöglicht Denial-of-Service-Angriff

CVE-2017-5130

Schwachstelle in LibXML2 ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-15756

Schwachstelle in Spring Framework ermöglicht Denial-of-Service-Angriff

CVE-2018-20622

Schwachstelle in JasPer ermöglicht Denial-of-Service-Angriff

CVE-2018-20843

Schwachstelle in Expat ermöglicht Denial-of-Service-Angriff

CVE-2019-0222

Schwachstelle in Apache ActiveMQ ermöglicht Denial-of-Service-Angriff

CVE-2019-10088

Schwachstelle in Apache Tika ermöglicht komplette Kompromittierung

CVE-2019-10247

Schwachstelle in Jetty ermöglicht Ausspähen von Informationen

CVE-2019-11358

Schwachstelle in jQuery ermöglicht Cross-Site-Scripting-Angriff

CVE-2019-12415

Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von Informationen

CVE-2019-13990

Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der Software

CVE-2019-1547

Schwachstelle in OpenSSL ermöglicht Ausspähen von Informationen

CVE-2019-15903

Schwachstelle in libexpat ermöglicht Denial-of-Service-Angriff

CVE-2019-16168

Schwachstelle in SQLite ermöglicht Denial-of-Service-Angriff

CVE-2019-16943

Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen Programmcodes

CVE-2019-17359

Schwachstelle in Bouncy Castle Crypto ermöglicht Denial-of-Service-Angriff

CVE-2019-17571

Schwachstelle in Apache Log4j ermöglicht Ausführung beliebigen Programmcodes

CVE-2020-2739

Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von Informationen

CVE-2020-2740

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Manipulation von Daten

CVE-2020-2745

Schwachstelle in Oracle Fusion Middleware ermöglicht Denial-of-Service-Angriff

CVE-2020-2747

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Manipulation von Daten

CVE-2020-2766

Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von Informationen

CVE-2020-2783

Schwachstelle in Oracle Fusion Middleware ermöglicht Manipulation von Daten

CVE-2020-2784 CVE-2020-2785 CVE-2020-2786 CVE-2020-2787

Schwachstellen in Oracle Fusion Middleware ermöglichen u. a. Denial-of-Service-Angriffe

CVE-2020-2798 CVE-2020-2963

Schwachstellen in Oracle Fusion Middleware ermöglichen komplette Kompromittierung der Software

CVE-2020-2801 CVE-2020-2883 CVE-2020-2884

Schwachstellen in Oracle Fusion Middleware ermöglichen komplette Kompromittierung der Software

CVE-2020-2811

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Manipulation von Daten

CVE-2020-2828

Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von Informationen

CVE-2020-2829

Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von Informationen

CVE-2020-2867

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Manipulation von Daten

CVE-2020-2869

Schwachstelle in Oracle Fusion Middleware ermöglicht Manipulation von Daten

CVE-2020-2915

Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der Software

CVE-2020-2949

Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von Informationen

CVE-2020-2950

Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der Software

CVE-2020-2952

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Manipulation von Daten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.