2021-2190: Oracle Fusion Middleware: Mehrere Schwachstellen ermöglichen u. a. die komplette Kompromittierung der betroffenen Software

Historie:

Version 1 (2021-10-20 16:12): Neues Advisory

Betroffene Software

Entwicklung
Middleware
Netzwerk
Office
Server
Systemsoftware

Betroffene Plattformen

Linux
Microsoft
Oracle
UNIX

Beschreibung:

In der Oracle Fusion Middleware existieren mehrere Schwachstellen in einer Vielzahl von Komponenten. Hervorzuheben sind Schwachstellen in den Komponenten Oracle WebCenter Sites, Oracle WebLogic Server, Oracle Business Activity Monitoring und Oracle WebCenter Portal, die einem Angreifer die vollständige Kompromittierung der betroffenen Software aus der Ferne ermöglichen. Im Fall von Oracle WebCenter Sites und Oracle WebLogic Server ist das auch ohne vorige Authentifizierung möglich. Darüber hinaus kann ein solcher Angreifer Dateien manipulieren, Informationen ausspähen, Sicherheitsvorkehrungen umgehen, beliebigen Programmcode ausführen, einen XML-External-Entity (XXE)-Angriff und verschiedene Denial-of-Service (DoS)-Angriff durchführen. Ein Angreifer kann mehrere Schwachstellen lokal ausnutzen, um Informationen auszuspähen und weitere Denial-of-Service (DoS)-Angriffe durchzuführen.

Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung der Schwachstelle CVE-2020-11022 kann Einfluss auf andere Komponenten haben.

Durch die Behebung der Schwachstellen CVE-2018-20843, CVE-2019-13990, CVE-2020-11022, CVE-2021-23841, CVE-2021-26272, CVE-2021-27906, CVE-2021-30468 und CVE-2021-36374 werden zusätzlich die hier nicht extra referenzierten Schwachstellen CVE-2019-10082, CVE-2019-5427, CVE-2019-11358, CVE-2020-11023, CVE-2020-1971, CVE-2021-23839, CVE-2021-23840, CVE-2021-26271, CVE-2021-27807, CVE-2020-13954, CVE-2021-22696, CVE-2017-5645, CVE-2020-11979 und CVE-2021-36373 adressiert.

Oracle veröffentlicht mit dem Patchtag im Oktober 2021 Sicherheitsupdates für die betroffenen Komponenten.

Schwachstellen:

CVE-2018-10237

Schwachstelle in Google Guava ermöglicht Denial-of-Service-Angriff

CVE-2018-20843

Schwachstelle in Expat ermöglicht Denial-of-Service-Angriff

CVE-2018-8088

Schwachstelle in SLF4J ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-12400

Schwachstelle in Apache Santuario XML ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2019-12415

Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von Informationen

CVE-2019-13990

Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der Software

CVE-2020-11022

Schwachstelle in jQuery ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-1971

Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

CVE-2020-25649

Schwachstelle in jackson-databind ermöglicht XML-External-Entity-Angriff

CVE-2020-5258

Schwachstelle in Dojo ermöglicht Manipulation von Daten

CVE-2020-7226

Schwachstelle in Cryptacular ermöglicht einen Denial-of-Service-Angriff

CVE-2021-23841

Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

CVE-2021-2480

Schwachstelle in Oracle Fusion Middleware ermöglicht Manipulation von Daten

CVE-2021-26272

Schwachstelle in CKEditor ermöglicht Denial-of-Service-Angriff

CVE-2021-27906

Schwachstelle in Apache PDFBox ermöglicht Denial-of-Service-Angriff

CVE-2021-29425

Schwachstelle in Apache Commons IO ermöglicht Path-Traversal-Angriff

CVE-2021-29505

Schwachstelle in XStream ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-30468

Schwachstelle in Oracle Fusion Middleware ermöglicht Denial-of-Service-Angriff

CVE-2021-35552