2021-0828: Oracle PeopleSoft Products: Mehrere Schwachstellen ermöglichen u. a. einen Denial-of-Service-Angriff

Historie:

Version 1 (2021-04-21 19:08)

Neues Advisory

Betroffene Software

Entwicklung
Middleware
Office

Betroffene Plattformen

Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Die erfolgreiche Ausnutzung mehrerer Schwachstellen erfordert die Interaktion eines Benutzers oder kann Einfluss auf andere Komponenten haben.

Oracle stellt im Zuge des Patchtages im April 2021 Sicherheitsupdates für PeopleSoft Enterprise PeopleTools 8.56, 8.57 und 8.58 sowie für PeopleSoft Enterprise FIN Common Application Objects, PeopleSoft Enterprise FIN Expenses, PeopleSoft Enterprise SCM eProcurement, PeopleSoft Enterprise SCM Purchasing und PeopleSoft Enterprise CS Campus Community jeweils in Version 9.2 zur Behebung der Schwachstellen bereit.

Weiterhin informiert Oracle darüber, dass mit dem Patch für die Schwachstelle CVE-2017-18640 auch die Schwachstelle CVE-2019-12402, mit CVE-2020-11022 auch CVE-2020-11023 und mit CVE-2020-8286 auch CVE-2020-8284 und CVE-2020-8285 adressiert werden.

Schwachstellen:

CVE-2017-1000061

Schwachstelle in XMLSec ermöglicht XML External Entity Expansion

CVE-2017-18640

Schwachstelle in Prometheus JMX Exporter / SnakeYAML ermöglicht u. a. Denial-of-Service-Angriff

CVE-2019-10086

Schwachstelle in Apache Commons BeanUtils ermöglicht Ausführung beliebigen Programmcodes

CVE-2020-11022

Schwachstelle in jQuery ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-1971

Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

CVE-2020-27193

Schwachstelle in Oracle PeopleSoft ermöglicht u. a. Manipulation von Daten

CVE-2020-28052

Schwachstelle in Bouncy Castle ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-8286

Schwachstelle in cURL ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-2151

Schwachstelle in Oracle PeopleSoft ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-2159

Schwachstelle in Oracle PeopleSoft ermöglicht Ausspähen von Informationen

CVE-2021-2216

Schwachstelle in Oracle PeopleSoft ermöglicht u. a. Manipulation von Daten

CVE-2021-2218

Schwachstelle in Oracle PeopleSoft ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-2219

Schwachstelle in Oracle PeopleSoft ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-2220

Schwachstelle in Oracle PeopleSoft ermöglicht u. a. Manipulation von Daten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.