2021-0135: Oracle Systems: Mehrere Schwachstellen ermöglichen u. a. die vollständige Kompromittierung der Software

Historie:

Version 1 (2021-01-20 13:26)

Neues Advisory

Version 2 (2021-01-20 14:29)

Als betroffene Plattform wird hier Oracle ZFS Storage Appliance Kit mit aufgeführt.

Betroffene Software

Datensicherung
Systemsoftware

Betroffene Plattformen

Oracle

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um die Software vollständig zu kompromittieren, Informationen auszuspähen, Dateien zu manipulieren, einen vollständigen Denial-of-Service (DoS)-Zustand zu erzeugen und beliebigen Programmcode auszuführen. Zudem kann ein Angreifer eine Schwachstelle lokal ausnutzen, um Dateien zu manipulieren. Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Zwei Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung zweier Schwachstellen kann Einfluss auf andere Komponenten haben.

Mittels der Behebung der Schwachstellen CVE-2020-11022 und CVE-2020-11984 werden weitere Korrekturen umgesetzt, die zusätzlichen Schwachstellen sind in dieser Meldung nicht extra aufgeführt.

Oracle stellt im Rahmen des Patchtags im Januar 2021 Hinweise zu den Schwachstellen in Oracle ZFS Storage Appliance Kit 8.8 und StorageTek Tape Analytics SW Tool 2.3.1 sowie entsprechende Sicherheitsupdates bereit.

Schwachstellen:

CVE-2020-11022

Schwachstelle in jQuery ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-11984

Schwachstelle in Apache HTTP Server ermöglicht u. a. Ausspähen von Informationen

CVE-2020-9488

Schwachstelle in Apache Log4j ermöglicht Ausspähen von Informationen

CVE-2021-1999

Schwachstelle in Oracle Systems ermöglicht Manipulation von Daten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.