2021-0819: Oracle Fusion Middleware: Mehrere Schwachstellen ermöglichen u. a. die komplette Kompromittierung der betroffenen Software
Historie:
- Version 1 (2021-04-21 17:31)
- Neues Advisory
Betroffene Software
Entwicklung
Middleware
Netzwerk
Office
Server
Sicherheit
Systemsoftware
Betroffene Plattformen
Linux
Microsoft
Oracle
UNIX
Beschreibung:
In der Oracle Fusion Middleware existieren mehrere Schwachstellen in einer Vielzahl von Komponenten. Hervorzuheben sind Schwachstellen in den Komponenten Oracle Business Intelligence Enterprise Edition, Oracle Platform Security for Java, Oracle WebCenter Portal, Oracle WebLogic Server, Oracle BAM (Business Activity Monitoring), Oracle Endeca Information Discovery Studio, Oracle Fusion Middleware und Oracle Identity Manager Connector, die einem Angreifer die vollständige Kompromittierung der betroffenen Software aus der Ferne ermöglichen. Darüber hinaus kann ein solcher Angreifer Dateien manipulieren, Informationen ausspähen, beliebigen Programmcode ausführen, einen Cross-Site-Scripting (XSS)-Angriff und einen Denial-of-Service (DoS)-Angriff durchführen. Weiterhin kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen. Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.
Durch die Behebung der Schwachstellen CVE-2018-1000180, CVE-2019-17566, CVE-2019-17638, CVE-2019-3740, CVE-2020-11022, CVE-2020-11979, CVE-2020-24750, CVE-2020-26217, CVE-2020-27842, CVE-2020-5360, CVE-2021-20227 werden zusätzlich die hier nicht extra referenzierten Schwachstellen CVE-2018-1000613, CVE-2020-11987, CVE-2019-0232, CVE-2019-10072, CVE-2019-10246, CVE-2019-10247, CVE-2019-17632, CVE-2020-13934, CVE-2020-13935, CVE-2020-9484, CVE-2019-3738, CVE-2019-3739, CVE-2020-11023, CVE-2017-5645, CVE-2020-1945, CVE-2020-24616, CVE-2019-10173, CVE-2021-21345, CVE-2020-27841, CVE-2020-27843, CVE-2020-27844, CVE-2020-27845, CVE-2020-5359, CVE-2020-13434, CVE-2020-13435 adressiert.
Oracle veröffentlicht mit dem Patchtag im April 2021 Sicherheitsupdates für die betroffenen Komponenten.
Schwachstellen:
CVE-2018-1000180
Schwachstelle in Bouncy Castle ermöglicht Ausspähen von InformationenCVE-2019-0221
Schwachstelle in Apache Tomcat ermöglicht Cross-Site-Scripting-AngriffCVE-2019-10086
Schwachstelle in Apache Commons BeanUtils ermöglicht Ausführung beliebigen ProgrammcodesCVE-2019-12402
Schwachstelle in Apache Commons Compress ermöglicht Denial-of-Service-AngriffCVE-2019-17566
Schwachstelle in Apache Batik ermöglicht Server-Side-Request-Forgery-AngriffCVE-2019-17638
Schwachstelle in Eclipse Jetty ermöglicht u. a. Ausspähen von InformationenCVE-2019-3740
Schwachstelle in Oracle Database Server, Oracle Fusion Middleware und Oracle Systems ermöglicht Ausspähen von InformationenCVE-2020-10683
Schwachstelle in dom4j ermöglicht XML-External-Entity-AngriffCVE-2020-11022
Schwachstelle in jQuery ermöglicht Ausführen beliebigen ProgrammcodesCVE-2020-11612
Schwachstelle in Netty ermöglicht Denial-of-Service-AngriffCVE-2020-11979
Schwachstelle in Apache Ant ermöglicht Manipulation von DateienCVE-2020-1971
Schwachstelle in OpenSSL ermöglicht Denial-of-Service-AngriffCVE-2020-24750
Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen ProgrammcodesCVE-2020-25649
Schwachstelle in jackson-databind ermöglicht XML-External-Entity-AngriffCVE-2020-26217
Schwachstelle in XStream ermöglicht Ausführen beliebigen ProgrammcodesCVE-2020-27842
Schwachstelle in OpenJPEG ermöglicht Denial-of-Service-AngriffCVE-2020-5360
Schwachstelle in Oracle Database Server und Oracle Fusion Middleware ermöglicht Denial-of-Service-AngriffCVE-2020-5421
Schwachstelle in Oracle MySQL ermöglicht u. a. Manipulation von DatenCVE-2020-9480
Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der SoftwareCVE-2020-9489
Schwachstelle in Apache Tika ermöglicht Denial-of-Service-AngriffCVE-2021-20227
Schwachstelle in SQLite ermöglicht u. a. Denial-of-Service-AngriffCVE-2021-2135
Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der SoftwareCVE-2021-2136
Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der SoftwareCVE-2021-2142
Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Manipulation von DatenCVE-2021-2152
Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Manipulation von DatenCVE-2021-2157
Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von InformationenCVE-2021-2191
Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Manipulation von DatenCVE-2021-2204
Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von InformationenCVE-2021-2211
Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von InformationenCVE-2021-2214
Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von InformationenCVE-2021-2240
Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Denial-of-Service-AngriffCVE-2021-2242
Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Manipulation von DatenCVE-2021-2277
Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von InformationenCVE-2021-2294
Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Denial-of-Service-AngriffCVE-2021-2302
Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der SoftwareCVE-2021-2315
Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Manipulation von Daten
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.