DFN-CERT

Advisory-Archiv

2021-2191: Oracle Datenbank-Produkte: Mehrere Schwachstellen ermöglichen u. a. das Erlangen von Administratorrechten

Historie:

Version 1 (2021-10-20 14:04)
Neues Advisory

Betroffene Software

Server
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Administratorrechte zu erlangen, Dateien zu manipulieren, Informationen auszuspähen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Zudem kann ein Angreifer eine Schwachstelle lokal ausnutzen, um Administratorrechte zu erlangen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Zwei Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung der Schwachstelle CVE-2021-35599 kann Einfluss auf andere Komponenten haben.

Oracle veröffentlicht anlässlich des Patchtags im Oktober 2021 Sicherheitsupdates für die unterstützten Oracle Database Server Versionen 12.1.0.2, 12.2.0.1, 19c und 21c sowie Oracle Application Express in Version 21.1.0 zur Behebung der Schwachstellen.

Oracle gibt bekannt, dass mit dem Sicherheitsupdate für CVE-2021-25122 auch die Schwachstellen CVE-2020-9484 und CVE-2021-25329 behoben werden. Das Sicherheitsupdate für CVE-2021-26272 behebt zusätzlich die Schwachstelle CVE-2021-26271. Oracle gibt weiterhin bekannt, dass mit den Sicherheitsupdates zusätzlich auch die in den Oracle Database Server Versionen nicht ausnutzbaren Schwachstellen CVE-2021-29425, CVE-2021-29921, CVE-2020-28928, CVE-2021-2341, CVE-2021-2369, CVE-2021-2388, CVE-2021-2432 und CVE-2020-27824 behoben werden.

Schwachstellen:

CVE-2021-2332

Schwachstelle in Oracle Database Server ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-25122

Schwachstelle in Apache Tomcat ermöglicht Ausspähen von Informationen

CVE-2021-26272

Schwachstelle in CKEditor ermöglicht Denial-of-Service-Angriff

CVE-2021-35551

Schwachstelle in Oracle Database Server ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-35557 CVE-2021-35558

Schwachstellen in Oracle Database Server ermöglichen Denial-of-Service-Angriff

CVE-2021-35576

Schwachstelle in Oracle Database Server ermöglicht Manipulation von Daten

CVE-2021-35599

Schwachstelle in Oracle Database Server ermöglicht komplette Kompromittierung der Software

CVE-2021-35619

Schwachstelle in Oracle Database Server ermöglicht komplette Kompromittierung der Software

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.