2020-2287: Oracle Datenbank-Produkte: Mehrere Schwachstellen ermöglichen u. a. die Kompromittierung der Software

Historie:

Version 1 (2020-10-21 18:15): Neues Advisory

Betroffene Software

Middleware
Server

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein entfernter Angreifer kann mehrere Schwachstellen in Komponenten von Oracle Datenbankserver, Oracle REST Data Services, Oracle TimesTen In-Memory Database sowie Oracle Big Data Graph ausnutzen, um das System zu übernehmen. Weitere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes, Denial-of-Service (DoS)-Angriffe, die Manipulation von Dateien sowie das Ausspähen von Informationen. Verschiedene Angriffe erfordern für eine erfolgreiche Ausnutzung der jeweiligen Schwachstelle die Interaktion durch einen Benutzer der Software. Die meisten der Schwachstellen erfordern zusätzlich niedrige oder erweiterte Privilegien. Durch Ausnutzung der schwerwiegendsten der Schwachstellen kann Einfluss auf von Oracle Produkten verschiedene Komponenten genommen werden.

Oracle veröffentlicht anlässlich des Patchtages im Oktober 2020 Sicherheitsupdates für die unterstützten Oracle Database Server Versionen 11.2.0.4, 12.1.0.2, 12.2.0.1, 18c, 19c und 20.2 zur Behebung der Schwachstellen. Für Oracle REST Data Services werden Sicherheitsupdates für die Versionen 11.2.0.4, 12.1.0.2, 12.2.0.1, 18c und 19c sowie Standalone ORDS 20.2.1 veröffentlicht. Für Oracle Big Data Graph stellt der Hersteller Version 3.0 als Sicherheitsupdate zur Verfügung. Für Oracle TimesTen In-Memory Database stehen Sicherheitsupdates in Form der unterstützten Versionen 11.2.2.8.49, 18.1.3.1.0 und 18.1.4.1.0 zur Verfügung.

Schwachstellen:

CVE-2016-1000031

Schwachstelle in Apache Commons FileUpload ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-5645

Schwachstelle in Apache Log4j ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-7658

Schwachstelle in Jetty ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-11058

Schwachstelle in RSA BSAFE Micro Edition Suite ermöglicht u. a. Ausspähen von Informationen

CVE-2019-0192

Schwachstelle in Apache Solr ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-0201

Schwachstelle in ZooKeeper ermöglicht das Ausspähen von Informationen

CVE-2019-1010239

Schwachstelle in Oracle TimesTen In-Memory Database ermöglicht Denial-of-Service-Angriff

CVE-2019-12900

Schwachstelle in bzip2 ermöglicht Ausführung beliebigen Programmcodes

CVE-2020-11023

Schwachstelle in jQuery ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-13935

Schwachstelle in Apache Tomcat ermöglicht Denial-of-Service-Angriff

CVE-2020-14734

Schwachstelle in Oracle Database Server ermöglicht komplette Kompromittierung der Software

CVE-2020-14735

Schwachstelle in Oracle Database Server ermöglicht komplette Kompromittierung der Software

CVE-2020-14736

Schwachstelle in Oracle Database Server ermöglicht u. a. Manipulation von Daten

CVE-2020-14740

Schwachstelle in Oracle Database Server ermöglicht Ausspähen von Informationen

CVE-2020-14741

Schwachstelle in Oracle Database Server ermöglicht Denial-of-Service-Angriff

CVE-2020-14742

Schwachstelle in Oracle Database Server ermöglicht Manipulation von Daten

CVE-2020-14743