2021-2190: Oracle Fusion Middleware: Mehrere Schwachstellen ermöglichen u. a. die komplette Kompromittierung der betroffenen Software
Historie:
- Version 1 (2021-10-20 16:12)
- Neues Advisory
Betroffene Software
Entwicklung
Middleware
Netzwerk
Office
Server
Systemsoftware
Betroffene Plattformen
Linux
Microsoft
Oracle
UNIX
Beschreibung:
In der Oracle Fusion Middleware existieren mehrere Schwachstellen in einer Vielzahl von Komponenten. Hervorzuheben sind Schwachstellen in den Komponenten Oracle WebCenter Sites, Oracle WebLogic Server, Oracle Business Activity Monitoring und Oracle WebCenter Portal, die einem Angreifer die vollständige Kompromittierung der betroffenen Software aus der Ferne ermöglichen. Im Fall von Oracle WebCenter Sites und Oracle WebLogic Server ist das auch ohne vorige Authentifizierung möglich. Darüber hinaus kann ein solcher Angreifer Dateien manipulieren, Informationen ausspähen, Sicherheitsvorkehrungen umgehen, beliebigen Programmcode ausführen, einen XML-External-Entity (XXE)-Angriff und verschiedene Denial-of-Service (DoS)-Angriff durchführen. Ein Angreifer kann mehrere Schwachstellen lokal ausnutzen, um Informationen auszuspähen und weitere Denial-of-Service (DoS)-Angriffe durchzuführen.
Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung der Schwachstelle CVE-2020-11022 kann Einfluss auf andere Komponenten haben.
Durch die Behebung der Schwachstellen CVE-2018-20843, CVE-2019-13990, CVE-2020-11022, CVE-2021-23841, CVE-2021-26272, CVE-2021-27906, CVE-2021-30468 und CVE-2021-36374 werden zusätzlich die hier nicht extra referenzierten Schwachstellen CVE-2019-10082, CVE-2019-5427, CVE-2019-11358, CVE-2020-11023, CVE-2020-1971, CVE-2021-23839, CVE-2021-23840, CVE-2021-26271, CVE-2021-27807, CVE-2020-13954, CVE-2021-22696, CVE-2017-5645, CVE-2020-11979 und CVE-2021-36373 adressiert.
Oracle veröffentlicht mit dem Patchtag im Oktober 2021 Sicherheitsupdates für die betroffenen Komponenten.
Schwachstellen:
CVE-2018-10237
Schwachstelle in Google Guava ermöglicht Denial-of-Service-AngriffCVE-2018-20843
Schwachstelle in Expat ermöglicht Denial-of-Service-AngriffCVE-2018-8088
Schwachstelle in SLF4J ermöglicht Ausführung beliebigen ProgrammcodesCVE-2019-12400
Schwachstelle in Apache Santuario XML ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2019-12415
Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von InformationenCVE-2019-13990
Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der SoftwareCVE-2020-11022
Schwachstelle in jQuery ermöglicht Ausführen beliebigen ProgrammcodesCVE-2020-1971
Schwachstelle in OpenSSL ermöglicht Denial-of-Service-AngriffCVE-2020-25649
Schwachstelle in jackson-databind ermöglicht XML-External-Entity-AngriffCVE-2020-5258
Schwachstelle in Dojo ermöglicht Manipulation von DatenCVE-2020-7226
Schwachstelle in Cryptacular ermöglicht einen Denial-of-Service-AngriffCVE-2021-23841
Schwachstelle in OpenSSL ermöglicht Denial-of-Service-AngriffCVE-2021-2480
Schwachstelle in Oracle Fusion Middleware ermöglicht Manipulation von DatenCVE-2021-26272
Schwachstelle in CKEditor ermöglicht Denial-of-Service-AngriffCVE-2021-27906
Schwachstelle in Apache PDFBox ermöglicht Denial-of-Service-AngriffCVE-2021-29425
Schwachstelle in Apache Commons IO ermöglicht Path-Traversal-AngriffCVE-2021-29505
Schwachstelle in XStream ermöglicht Ausführen beliebigen ProgrammcodesCVE-2021-30468
Schwachstelle in Oracle Fusion Middleware ermöglicht Denial-of-Service-AngriffCVE-2021-35552
Schwachstelle in Oracle Fusion Middleware ermöglicht Manipulation von DatenCVE-2021-35572 CVE-2021-35573 CVE-2021-35574 CVE-2021-35656 CVE-2021-35657
Schwachstellen in Oracle Fusion Middleware ermöglichen Denial-of-Service-AngriffCVE-2021-35617
Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der SoftwareCVE-2021-35620
Schwachstelle in Oracle Fusion Middleware ermöglicht Denial-of-Service-AngriffCVE-2021-35658 CVE-2021-35659 CVE-2021-35660 CVE-2021-35661 CVE-2021-35662
Schwachstellen in Oracle Fusion Middleware ermöglichen Denial-of-Service-AngriffCVE-2021-35666
Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von InformationenCVE-2021-36374
Schwachstelle in Apache Ant, Oracle Fusion Middleware ermöglicht Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.