2021-1547: Oracle PeopleSoft Products: Mehrere Schwachstellen ermöglichen u. a. die komplette Kompromittierung der Software
Historie:
- Version 1 (2021-07-21 19:28)
- Neues Advisory
Betroffene Software
Entwicklung
Middleware
Office
Betroffene Plattformen
Linux
Microsoft
Oracle
UNIX
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um die betroffene Software zu kompromittieren, Dateien zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen sowie einen Cross-Site-Scripting (XSS)- und verschiedene Denial-of-Service (DoS)-Angriffe durchzuführen. Zwei Schwachstellen können lokal ausgenutzt werden, um Informationen aus temporären Dateien auszuspähen.
Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung der Schwachstellen CVE-2018-7160 und CVE-2021-2408 kann Einfluss auf andere Komponenten haben. Die Schwachstelle CVE-2019-17195 wird von Oracle deutlich kritischer angesehen als vom Hersteller selbst.
Durch die Behebung der Schwachstellen CVE-2020-7017, CVE-2021-22884 und CVE-2021-3450 werden zusätzlich die hier nicht extra referenzierten Schwachstellen CVE-2020-7016, CVE-2018-7160, CVE-2021-22883, CVE-2021-23839, CVE-2021-23840, CVE-2021-23841 und CVE-2021-3449 adressiert.
Oracle stellt im Zuge des Patchtags im Juli 2021 Sicherheitsupdates für PeopleSoft Enterprise PeopleTools 8.57, 8.58 und 8.59, für PeopleSoft Enterprise CS Campus Community 9.0 und 9.2 sowie für PeopleSoft Enterprise HCM Candidate Gateway und PeopleSoft Enterprise HCM Shared Components jeweils in Version 9.2 zur Behebung der Schwachstellen bereit.
Schwachstellen:
CVE-2018-7160
Schwachstelle in Node.js ermöglicht Ausführung beliebigen ProgrammcodesCVE-2019-17195
Schwachstelle in Connect2id Nimbus ermöglicht u. a. einen Denial-of-Service-AngriffCVE-2020-13956
Schwachstelle in Apache HttpComponents HttpClient ermöglicht u. a. Manipulation von DatenCVE-2020-7016
Schwachstelle in Kibana ermöglicht Denial-of-Service-AngriffCVE-2020-7017
Schwachstelle in Kibana ermöglicht Cross-Site-Scripting-AngriffCVE-2020-8908
Schwachstelle in Google Guava ermöglicht Ausspähen von InformationenCVE-2021-21290
Schwachstelle in Netty ermöglicht Ausspähen von InformationenCVE-2021-22883
Schwachstelle in Node.js ermöglicht Denial-of-Service-AngriffCVE-2021-22884
Schwachstelle in Node.js ermöglicht u. a. Denial-of-Service-AngriffCVE-2021-2377
Schwachstelle in PeopleSoft Enterprise PeopleTools ermöglicht Ausspähen von InformationenCVE-2021-23839
Schwachstelle in OpenSSL ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2021-23840
Schwachstelle in OpenSSL ermöglicht u. a. Denial-of-Service-AngriffCVE-2021-23841
Schwachstelle in OpenSSL ermöglicht Denial-of-Service-AngriffCVE-2021-2404
Schwachstelle in PeopleSoft Enterprise HCM Candidate Gateway ermöglicht u. a. Manipulation von DateienCVE-2021-2407
Schwachstelle in PeopleSoft Enterprise PeopleTools ermöglicht Ausspähen von InformationenCVE-2021-2408
Schwachstelle in PeopleSoft Enterprise PeopleTools ermöglicht u. a. Manipulation von DateienCVE-2021-2421
Schwachstelle in PeopleSoft Enterprise CS Campus Community ermöglicht Ausspähen von InformationenCVE-2021-2455
Schwachstelle in PeopleSoft Enterprise HCM Shared Components ermöglicht u. a. Manipulation von DateienCVE-2021-27568
Schwachstelle in netplex json-smart ermöglicht u. a. Denial-of-Service-AngriffCVE-2021-3449
Schwachstelle in OpenSSL ermöglicht Denial-of-Service-AngriffCVE-2021-3450
Schwachstelle in OpenSSL ermöglicht Umgehen von Sicherheitsvorkehrungen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.