2021-0829: Oracle NoSQL Database: Mehrere Schwachstellen ermöglichen u. a. einen Denial-of-Service-Angriff

Historie:

Version 1 (2021-04-21 15:11)

Neues Advisory

Betroffene Software

Server

Betroffene Plattformen

Linux
Oracle
UNIX

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen in den Komponenten Apache HttpClient und Node.js der Oracle NoSQL Database aus der Ferne ausnutzen, um Informationen auszuspähen und Denial-of-Service (DoS)-Angriffe durchzuführen. In den Komponenten Google Guava und Netty ermöglicht es je eine Schwachstelle einem Angreifer, lokal auf unsicher erzeugte temporäre Dateien zuzugreifen und dadurch Informationen auszuspähen. Für die Ausnutzung der Schwachstelle CVE-2020-8908 sind dabei niedrige Privilegien erforderlich.

Oracle stellt Oracle NoSQL Database 20.3 als Sicherheitsupdate zur Verfügung und gibt an, dass mit dem Update weitere Schwachstellen in den Komponenten Go und jackson-databind adressiert werden, die im Kontext der Oracle-Produktfamilie nicht ausgenutzt werden können.

Schwachstellen:

CVE-2020-11612

Schwachstelle in Netty ermöglicht Denial-of-Service-Angriff

CVE-2020-13956

Schwachstelle in Apache HttpComponents HttpClient ermöglicht u. a. Manipulation von Daten

CVE-2020-8908

Schwachstelle in Google Guava ermöglicht Ausspähen von Informationen

CVE-2021-21290

Schwachstelle in Netty ermöglicht Ausspähen von Informationen

CVE-2021-22883

Schwachstelle in Node.js ermöglicht Denial-of-Service-Angriff

CVE-2021-22884

Schwachstelle in Node.js ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-23840

Schwachstelle in OpenSSL ermöglicht u. a. Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.