2021-1539: Oracle JD Edwards: Mehrere Schwachstellen ermöglichen u. a. die vollständige Kompromittierung der betroffenen Software

Historie:

Version 1 (2021-07-21 12:44): Neues Advisory

Betroffene Software

Middleware

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Mehrere Schwachstellen in den Komponenten E1 IOT Orchestrator Security (Quartz), E1 IOT Orchestrator Security (Nimbus JOSE+JWT) und E1 IOT Orchestrator Security (jackson-databind) von JD Edwards EnterpriseOne Orchestrator bis inklusive Version 9.2.5.3 sowie Business Logic Inf SEC (Nimbus JOSE+JWT), Web Runtime SEC (Nimbus JOSE+JWT), Monitoring and Diagnostics SEC (jackson-databind), Web Runtime SEC (jackson-databind) und Web Runtime von JD Edwards EnterpriseOne Tools bis inklusive Version 9.2.5.3 ermöglichen einem Angreifer aus der Ferne die vollständige Kompromittierung der betroffenen Software, die Manipulation von Daten sowie das Ausspähen von Informationen. Die erfolgreiche Ausnutzung der Schwachstellen CVE-2021-2373 und CVE-2021-2375 erfordert Interaktionen eines Benutzers der Software und kann Einfluss auf andere Komponenten betroffener Systeme haben. Für CVE-2021-2373 sind zusätzlich übliche Privilegien erforderlich. Die Schwachstelle CVE-2019-17195 wird von Oracle deutlich kritischer angesehen, als vom Hersteller selbst.

Oracle stellt im Rahmen des Patchtags im Juli 2021 Sicherheitsupdates zur Behebung der Schwachstellen zur Verfügung.

Schwachstellen:

CVE-2019-13990

Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der Software

CVE-2019-17195

Schwachstelle in Connect2id Nimbus ermöglicht u. a. einen Denial-of-Service-Angriff

CVE-2020-25649

Schwachstelle in jackson-databind ermöglicht XML-External-Entity-Angriff

CVE-2020-36189

Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-2373

Schwachstelle in Oracle JD Edwards ermöglicht u. a. Manipulation von Daten

CVE-2021-2375