2020-1536: Oracle Database Server: Mehrere Schwachstellen ermöglichen u. a. die komplette Kompromittierung der betroffenen Software

Historie:

Version 1 (2020-07-15 18:57)

Neues Advisory

Betroffene Software

Server

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein entfernter Angreifer kann mehrere Schwachstellen in Komponenten von Oracle Datenbankserver ausnutzen, um das System zu übernehmen, beliebigen Programmcode auszuführen, Denial-of-Service (DoS)-Angriffe durchzuführen, Dateien zu manipulieren und Informationen auszuspähen. Alle Schwachstellen bis auf CVE-2019-17569 erfordern zusätzlich niedrige oder in manchen Fällen erweiterte Privilegien, um erfolgreich ausgenutzt zu werden. Einige Angriffe erfordern die Interaktion eines Benutzers. Durch Ausnutzung der schwerwiegendsten der Schwachstellen kann Einfluss auf von Oracle Database Server verschiedene Komponenten genommen werden.

Einige der aufgelisteten Schwachstellen lassen sich im Kontext von Oracel Database Server nicht ausnutzen. Durch die Korrektur der teilweise exemplarisch referenzierten Schwachstellen adressiert Oracle jeweils weitere Schwachstellen.

Oracle veröffentlicht anlässlich des Patchtages im Juli 2020 Sicherheitsupdates für die unterstützten Oracle Database Server Versionen 11.2.0.4, 12.1.0.2, 12.2.0.1, 18c, 19c und 19.2 zur Behebung der Schwachstellen.

Schwachstellen:

CVE-2016-1000031

Schwachstelle in Apache Commons FileUpload ermöglicht Ausführung beliebigen Programmcodes

CVE-2016-9843

Schwachstelle in zlib ermöglicht u. a. Denial-of-Service-Angriff

CVE-2018-18314

Schwachstelle in Perl ermöglicht Denial-of-Service-Angriff

CVE-2019-10086

Schwachstelle in Apache Commons BeanUtils ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-13990

Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der Software

CVE-2019-16943

Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen Programmcodes

CVE-2019-17569

Schwachstelle in Apache Tomcat ermöglicht HTTP-Request-Smuggling-Angriff

CVE-2020-2513 CVE-2020-2971 CVE-2020-2972 CVE-2020-2973 CVE-2020-2974 CVE-2020-2976 CVE-2020-2975

Schwachstellen in Oracle Database Server ermöglichen u. a. Manipulation von Daten

CVE-2020-2968

Schwachstelle in Oracle Database Server ermöglicht komplette Kompromittierung der Software

CVE-2020-2969

Schwachstelle in Oracle Database Server ermöglicht komplette Kompromittierung der Software

CVE-2020-2977

Schwachstelle in Oracle Database Server ermöglicht u. a. Manipulation von Daten

CVE-2020-2978

Schwachstelle in Oracle Database Server ermöglicht Manipulation von Daten

CVE-2020-8112

Schwachstelle in OpenJPEG ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.