2021-0140: Oracle JD Edwards: Mehrere Schwachstellen ermöglichen u. a. einen Denial-of-Service-Angriff

Historie:

Version 1 (2021-01-20 14:52)

Neues Advisory

Betroffene Software

Middleware

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen in JD Edwards EnterpriseOne Orchestrator vor den Versionen 9.2.5.0 und 9.2.5.1 sowie JD Edwards EnterpriseOne Tools vor der Version 9.2.5.0 aus der Ferne ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen, beliebigen Programmcode auszuführen und Informationen auszuspähen. Eine Schwachstelle erfordert die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung zweier Schwachstellen kann Einfluss auf andere Komponenten haben.

Oracle stellt im Rahmen des Patchtages im Januar 2021 Sicherheitsupdates zur Behebung der Schwachstellen zur Verfügung.

Weiterhin informiert Oracle darüber, dass mit dem Patch für die Schwachstelle CVE-2020-11022 auch die Schwachstelle CVE-2020-11023 und mit dem Patch für CVE-2020-1967 auch die Schwachstelle CVE-2019-1551 adressiert werden.

Schwachstellen:

CVE-2020-11022

Schwachstelle in jQuery ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-1967

Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

CVE-2021-2052

Schwachstelle in Oracle JD Edwards ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.