2020-2286: Oracle Fusion Middleware: Mehrere Schwachstellen ermöglichen u. a. die komplette Kompromittierung der betroffenen Software

Historie:

Version 1 (2020-10-21 16:41)

Neues Advisory

Betroffene Software

Entwicklung
Middleware
Netzwerk
Office
Server
Sicherheit
Systemsoftware

Betroffene Plattformen

Linux
Microsoft
Oracle
UNIX

Beschreibung:

In der Oracle Fusion Middleware existieren mehrere Schwachstellen in einer Vielzahl von Komponenten. Hervorzuheben sind Schwachstellen in den Komponenten Identity Manager Connector, Oracle Access Manager, Oracle Data Integrator, Oracle Endeca Information Discovery Integrator und Studio, Oracle Enterprise Repository, Oracle GoldenGate Application Adapters, Oracle HTTP Server, Oracle WebCenter Portal, Oracle WebLogic Server und Oracle Managed File Transfer, die einem zumeist entfernten Angreifer die vollständige Kompromittierung der betroffenen Software ermöglichen. Darüber hinaus kann ein solcher Angreifer beliebigen Programmcode ausführen, Daten manipulieren, Informationen ausspähen, einen XML-External-Entity-Angriff sowie Cross-Site-Scripting (XSS)- und Denial-of-Service (DoS)-Angriffe durchführen. Ein erfolgreicher Angriff erfordert in einigen Fällen die Interaktion eines Benutzers und hat zum Teil signifikanten Einfluss auf andere Komponenten des Systems.

Durch die Behebung der Schwachstellen CVE-2017-9800, CVE-2018-11058, CVE-2019-17267, CVE-2019-17531, CVE-2019-5482, CVE-2020-11022, CVE-2020-13631 und CVE-2020-1951 werden weitere, hier nicht extra referenzierte Schwachstellen adressiert.

Oracle veröffentlicht mit dem Patch-Tag im Oktober 2020 Sicherheitsupdates für die betroffenen Komponenten.

Schwachstellen:

CVE-2016-2510

Schwachstelle in BeanShell ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-5645

Schwachstelle in Apache Log4j ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-9800

Schwachstelle in Apache Subversion ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-11058

Schwachstelle in RSA BSAFE Micro Edition Suite ermöglicht u. a. Ausspähen von Informationen

CVE-2018-8088

Schwachstelle in SLF4J ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-10097

Schwachstelle in Apache HTTP Server ermöglicht u. a. Denial-of-Service-Angriff

CVE-2019-10173

Schwachstelle in XStream ermöglicht Ausführen beliebigen Programmcodes

CVE-2019-11358

Schwachstelle in jQuery ermöglicht Cross-Site-Scripting-Angriff

CVE-2019-17267

Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen Programmcodes

CVE-2019-17531

Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen Programmcodes

CVE-2019-2904

Schwachstelle in Oracle JDeveloper, ADF, Business Process Management Suite und Enterprise Repositoryermöglicht komplette Kompromittierung der Software

CVE-2019-5482

Schwachstelle in cURL ermöglicht u. a. Denial-of-Service-Angriff

CVE-2020-10683

Schwachstelle in dom4j ermöglicht XML-External-Entity-Angriff

CVE-2020-11022

Schwachstelle in jQuery ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-13631

Schwachstelle in SQLite ermöglicht Manipulation von Dateien

CVE-2020-14757

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Manipulation von Daten

CVE-2020-14766

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Ausspähen von Informationen

CVE-2020-14780

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Ausspähen von Informationen

CVE-2020-14784

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Ausspähen von Informationen

CVE-2020-14815

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Ausspähen von Informationen

CVE-2020-14820

Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von Informationen

CVE-2020-14825

Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der Software

CVE-2020-14841

Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der Software

CVE-2020-14842

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Ausspähen von Informationen

CVE-2020-14843

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Denial-of-Service-Angriff

CVE-2020-14859

Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der Software

CVE-2020-14864

Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von Informationen

CVE-2020-14879 CVE-2020-14880

Schwachstellen in Oracle Fusion Middleware ermöglichen u. a. Ausspähen von Informationen

CVE-2020-14882

Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der Software

CVE-2020-14883

Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der Software

CVE-2020-15389

Schwachstelle in OpenJPEG ermöglicht u. a. Denial-of-Service-Angriff

CVE-2020-1945

Schwachstelle in Apache Ant ermöglicht u. a. Manipulation von Dateien

CVE-2020-1951

Schwachstelle in Apache Tika ermöglicht Denial-of-Service-Angriff

CVE-2020-1967

Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

CVE-2020-2555

Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der Software

CVE-2020-3235

Schwachstelle in Simple Network Management Protocol (SNMP) ermöglicht Denial-of-Service-Angriff

CVE-2020-9281

Schwachstelle in CKEditor ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-9484

Schwachstelle in Apache Tomcat ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-9488

Schwachstelle in Apache Log4j ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.