2021-1536: Oracle Fusion Middleware: Mehrere Schwachstellen ermöglichen u. a. die komplette Kompromittierung der betroffenen Software
Historie:
- Version 1 (2021-07-21 17:31)
- Neues Advisory
Betroffene Software
Entwicklung
Middleware
Netzwerk
Office
Server
Sicherheit
Systemsoftware
Betroffene Plattformen
Linux
Microsoft
Oracle
UNIX
Beschreibung:
In der Oracle Fusion Middleware existieren mehrere Schwachstellen in einer Vielzahl von Komponenten. Hervorzuheben sind Schwachstellen in den Komponenten Oracle BAM (Business Activity Monitoring), Oracle WebCenter Portal, Oracle Business Intelligence Enterprise Edition, Oracle Data Integrator, Oracle JDeveloper, Oracle WebLogic Server, Oracle BI Publisher, Oracle Enterprise Data Quality und Oracle Coherence, die einem Angreifer die vollständige Kompromittierung der betroffenen Software aus der Ferne ermöglichen. Darüber hinaus kann ein solcher Angreifer Dateien manipulieren, Informationen ausspähen, Sicherheitsvorkehrungen umgehen, beliebigen Programmcode ausführen, einen Cross-Site-Scripting (XSS)-Angriff und einen Denial-of-Service (DoS)-Angriff durchführen. Weiterhin kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen und einen Denial-of-Service (DoS)-Angriff durchzuführen.
Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.
Durch die Behebung der Schwachstellen CVE-2020-1945, CVE-2020-5421, CVE-2021-21345, CVE-2021-2397, CVE-2021-25122 und CVE-2021-27906 werden zusätzlich die hier nicht extra referenzierten Schwachstellen CVE-2020-11979, CVE-2021-22118, CVE-2019-10173, CVE-2021-21341, CVE-2021-21342, CVE-2021-21343, CVE-2021-21344, CVE-2021-21346, CVE-2021-21347, CVE-2021-21348, CVE-2021-21349, CVE-2021-21350, CVE-2021-21351, CVE-2020-14756, CVE-2021-25329 und CVE-2021-27807 adressiert.
Oracle veröffentlicht mit dem Patchtag im Juli 2021 Sicherheitsupdates für die betroffenen Komponenten.
Schwachstellen:
CVE-2015-0254
Schwachstelle in Java Standard Tag Library / Apache Standard Taglibs ermöglicht Ausführen beliebigen ProgrammcodesCVE-2019-10086
Schwachstelle in Apache Commons BeanUtils ermöglicht Ausführung beliebigen ProgrammcodesCVE-2019-11358
Schwachstelle in jQuery ermöglicht Cross-Site-Scripting-AngriffCVE-2019-12402
Schwachstelle in Apache Commons Compress ermöglicht Denial-of-Service-AngriffCVE-2019-12415
Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von InformationenCVE-2019-17195
Schwachstelle in Connect2id Nimbus ermöglicht u. a. einen Denial-of-Service-AngriffCVE-2020-10683
Schwachstelle in dom4j ermöglicht XML-External-Entity-AngriffCVE-2020-11987
Schwachstelle in Apache Batik ermöglicht Server-Side-Request-Forgery-AngriffCVE-2020-13956
Schwachstelle in Apache HttpComponents HttpClient ermöglicht u. a. Manipulation von DatenCVE-2020-1945
Schwachstelle in Apache Ant ermöglicht u. a. Manipulation von DateienCVE-2020-2555
Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der SoftwareCVE-2020-25649
Schwachstelle in jackson-databind ermöglicht XML-External-Entity-AngriffCVE-2020-28052
Schwachstelle in Bouncy Castle ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2020-5421
Schwachstelle in Oracle MySQL ermöglicht u. a. Manipulation von DatenCVE-2020-8908
Schwachstelle in Google Guava ermöglicht Ausspähen von InformationenCVE-2021-21345
Schwachstelle in XStream ermöglicht Ausführen beliebigen ProgrammcodesCVE-2021-2344
Schwachstelle in Oracle Fusion Middleware ermöglicht Denial-of-Service-AngriffCVE-2021-2358
Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von InformationenCVE-2021-2371
Schwachstelle in Oracle Fusion Middleware ermöglicht Denial-of-Service-AngriffCVE-2021-2376
Schwachstelle in Oracle Fusion Middleware ermöglicht Denial-of-Service-AngriffCVE-2021-2378
Schwachstelle in Oracle Fusion Middleware ermöglicht Denial-of-Service-AngriffCVE-2021-2382
Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der SoftwareCVE-2021-2391
Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der SoftwareCVE-2021-2392
Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der SoftwareCVE-2021-2394
Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der SoftwareCVE-2021-2396
Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der SoftwareCVE-2021-2397
Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der SoftwareCVE-2021-2400
Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von InformationenCVE-2021-2401
Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von InformationenCVE-2021-2403
Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von InformationenCVE-2021-2419 CVE-2021-2420 CVE-2021-2423
Schwachstellen in Oracle Fusion Middleware ermöglichen u. a. Manipulation von DatenCVE-2021-2428
Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der SoftwareCVE-2021-2430 CVE-2021-2431 CVE-2021-2449 CVE-2021-2450 CVE-2021-2451 CVE-2021-2452 CVE-2021-2453
Schwachstellen in Oracle Fusion Middleware ermöglichen u. a. Manipulation von DatenCVE-2021-2456
Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der SoftwareCVE-2021-2457
Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von InformationenCVE-2021-2458
Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Ausspähen von InformationenCVE-2021-25122
Schwachstelle in Apache Tomcat ermöglicht Ausspähen von InformationenCVE-2021-27906
Schwachstelle in Apache PDFBox ermöglicht Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.