2021-0132: Oracle Fusion Middleware: Mehrere Schwachstellen ermöglichen u. a. die komplette Kompromittierung der betroffenen Software

Historie:

Version 1 (2021-01-20 20:00)

Neues Advisory

Betroffene Software

Entwicklung
Middleware
Netzwerk
Office
Server
Sicherheit
Systemsoftware

Betroffene Plattformen

Linux
Microsoft
Oracle
UNIX

Beschreibung:

In der Oracle Fusion Middleware existieren mehrere Schwachstellen in einer Vielzahl von Komponenten. Hervorzuheben sind Schwachstellen in den Komponenten Oracle BAM (Business Activity Monitoring), Oracle Business Process Management Suite, Oracle Coherence, Oracle Data Integrator, Oracle Enterprise Data Quality, Oracle Enterprise Repository, Oracle WebCenter Portal, Oracle WebLogic Server, Oracle Real-Time Decision Server und Oracle Endeca Information Discovery Integrator, die einem Angreifer die vollständige Kompromittierung der betroffenen Software aus der Ferne ermöglichen. Darüber hinaus kann ein solcher Angreifer Dateien manipulieren, Informationen ausspähen, beliebigen Programmcode ausführen und Denial-of-Service (DoS)-Angriffe durchführen. Ein Angreifer kann zwei Schwachstellen lokal ausnutzen, um Dateien zu manipulieren. Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.

Durch die Behebung der Schwachstellen CVE-2018-9019, CVE-2019-0227, CVE-2019-10247, CVE-2020-11022, CVE-2020-13935 und CVE-2021-2041 werden zusätzlich die hier nicht extra referenzierten Schwachstellen CVE-2017-5611, CVE-2018-7318, CVE-2018-8032, CVE-2019-10246, CVE-2020-11023, CVE-2020-13934 und CVE-2019-2697 adressiert.

Oracle veröffentlicht mit dem Patch-Tag im Januar 2021 Sicherheitsupdates für die betroffenen Komponenten.

Schwachstellen:

CVE-2015-8965

Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der Software

CVE-2016-1000031

Schwachstelle in Apache Commons FileUpload ermöglicht Ausführung beliebigen Programmcodes

CVE-2016-5725

Schwachstelle in Jsch ermöglicht Manipulation von Daten

CVE-2017-12626

Schwachstelle in Apache POI ermöglicht Denial-of-Service-Angriff

CVE-2018-10237

Schwachstelle in Google Guava ermöglicht Denial-of-Service-Angriff

CVE-2018-2587

Schwachstelle in Oracle Access Manager ermöglicht Manipulation von Daten und Ausspähen von Informationen

CVE-2018-9019

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Manipulation von Daten

CVE-2019-0227

Schwachstelle in Oracle Fusion Middleware, Oracle Secure Global Desktop, Oracle PeopleSoft ermöglicht komplette Kompromittierung der Software

CVE-2019-10086

Schwachstelle in Apache Commons BeanUtils ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-10173

Schwachstelle in XStream ermöglicht Ausführen beliebigen Programmcodes

CVE-2019-10247

Schwachstelle in Jetty ermöglicht Ausspähen von Informationen

CVE-2019-14862

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Manipulation von Daten

CVE-2019-17091

Schwachstelle in Eclipse Mojarra ermöglicht Cross-Site-Scripting-Angriff

CVE-2019-17195

Schwachstelle in Connect2id Nimbus ermöglicht u. a. einen Denial-of-Service-Angriff

CVE-2019-17359

Schwachstelle in Bouncy Castle Crypto ermöglicht Denial-of-Service-Angriff

CVE-2019-17566

Schwachstelle in Apache Batik ermöglicht Server-Side-Request-Forgery-Angriff

CVE-2020-10683

Schwachstelle in dom4j ermöglicht XML-External-Entity-Angriff

CVE-2020-11022

Schwachstelle in jQuery ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-11979

Schwachstelle in Apache Ant ermöglicht Manipulation von Dateien

CVE-2020-11994

Schwachstelle in Apache Camel ermöglicht u. a. Ausspähen von Informationen

CVE-2020-11998

Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der Software

CVE-2020-13935

Schwachstelle in Apache Tomcat ermöglicht Denial-of-Service-Angriff

CVE-2020-14756

Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der Software

CVE-2020-1945

Schwachstelle in Apache Ant ermöglicht u. a. Manipulation von Dateien

CVE-2020-5421

Schwachstelle in Oracle MySQL ermöglicht u. a. Manipulation von Daten

CVE-2020-9488

Schwachstelle in Apache Log4j ermöglicht Ausspähen von Informationen

CVE-2021-1994

Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der Software

CVE-2021-1995

Schwachstelle in Oracle Fusion Middleware ermöglicht Manipulation von Daten

CVE-2021-1996

Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von Informationen

CVE-2021-2003

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Manipulation von Daten

CVE-2021-2005

Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von Informationen

CVE-2021-2013

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Ausspähen von Informationen

CVE-2021-2025

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Ausspähen von Informationen

CVE-2021-2033

Schwachstelle in Oracle Fusion Middleware ermöglicht Denial-of-Service-Angriff

CVE-2021-2041

Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der Software

CVE-2021-2047

Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der Software

CVE-2021-2049

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Ausspähen von Informationen

CVE-2021-2050 CVE-2021-2051

Schwachstellen in Oracle Fusion Middleware ermöglichen u. a. Ausspähen von Informationen

CVE-2021-2062

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Ausspähen von Informationen

CVE-2021-2064

Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der Software

CVE-2021-2066 CVE-2021-2067 CVE-2021-2068 CVE-2021-2069

Schwachstellen in Oracle Fusion Middleware ermöglichen u. a. Manipulation von Daten

CVE-2021-2075

Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der Software

CVE-2021-2108

Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der Software

CVE-2021-2109

Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der Software

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.