2021-0826: Oracle JD Edwards: Mehrere Schwachstellen ermöglichen u. a. das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2021-04-21 15:48)

Neues Advisory

Betroffene Software

Middleware
Sicherheit

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen in verschiedenen Komponenten von JD Edwards EnterpriseOne Orchestrator vor Version 9.2.5.3, JD Edwards EnterpriseOne Tools vor den Versionen 9.2.5.3 und 9.2.4.0 sowie JD Edwards World Security in Version A9.4 aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen sowie Cross-Site-Scripting (XSS)- und Denial-of-Service (DoS)-Angriffe durchzuführen. Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann dazu Einfluss auf andere Komponenten haben.

Oracle stellt im Rahmen des Patchtages im April 2021 Sicherheitsupdates zur Behebung der Schwachstellen zur Verfügung. Die Schwachstelle CVE-2020-28052 in der Komponente E1 Dev Platform Tech - Cloud (Bouncy Castle Java Library) von JD Edwards EnterpriseOne Tools wird von Oracle als besonders schwerwiegend eingestuft.

Schwachstellen:

CVE-2016-5725

Schwachstelle in Jsch ermöglicht Manipulation von Daten

CVE-2019-10086

Schwachstelle in Apache Commons BeanUtils ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-11358

Schwachstelle in jQuery ermöglicht Cross-Site-Scripting-Angriff

CVE-2019-1551

Schwachstelle in OpenSSL ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2019-17566

Schwachstelle in Apache Batik ermöglicht Server-Side-Request-Forgery-Angriff

CVE-2020-11022

Schwachstelle in jQuery ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-1967

Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

CVE-2020-1968

Schwachstelle in OpenSSL ermöglicht Ausspähen von Informationen

CVE-2020-1971

Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

CVE-2020-28052

Schwachstelle in Bouncy Castle ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-9281

Schwachstelle in CKEditor ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-9488

Schwachstelle in Apache Log4j ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.