2021-2192: Oracle PeopleSoft Products: Mehrere Schwachstellen ermöglichen u. a. die Manipulation von Dateien
Historie:
- Version 1 (2021-10-20 16:38)
- Neues Advisory
Betroffene Software
Entwicklung
Middleware
Betroffene Plattformen
Linux
Microsoft
Oracle
UNIX
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen und Denial-of-Service (DoS)-Angriffe durchzuführen. Zudem kann ein Angreifer zwei Schwachstellen im benachbarten Netzwerk ausnutzen, um Informationen auszuspähen. Zwei weitere Schwachstellen kann ein Angreifer lokal ausnutzen, um Informationen auszuspähen und einen Denial-of-Service (DoS)-Angriff durchzuführen.
Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.
Mit Behebung der Schwachstellen CVE-2021-27906 und CVE-2021-36090 werden zusätzliche Schwachstellen behoben, die aber hier nicht weiter aufgeführt werden.
Oracle stellt im Zuge des Patchtags im Oktober 2021 Sicherheitsupdates für PeopleSoft Enterprise PeopleTools 8.57, 8.58 und 8.59, PeopleSoft Enterprise CC Common Application Objects 9.2, PeopleSoft Enterprise CS Campus Community 9.0 und 9.2, PeopleSoft Enterprise CS SA Integration Pack 9.0 und 9.2, PeopleSoft Enterprise CS Academic Advisement 9.2, PeopleSoft Enterprise CS Student Records 9.2 sowie PeopleSoft Enterprise SCM 9.2 zur Behebung der Schwachstellen bereit.
Schwachstellen:
CVE-2019-12415
Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von InformationenCVE-2020-13956
Schwachstelle in Apache HttpComponents HttpClient ermöglicht u. a. Manipulation von DatenCVE-2020-1967
Schwachstelle in OpenSSL ermöglicht Denial-of-Service-AngriffCVE-2021-23926
Schwachstelle in XMLBeans ermöglicht XML-External-Entity-AngriffCVE-2021-27906
Schwachstelle in Apache PDFBox ermöglicht Denial-of-Service-AngriffCVE-2021-28363
Schwachstelle in urllib3 ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2021-29425
Schwachstelle in Apache Commons IO ermöglicht Path-Traversal-AngriffCVE-2021-35541
Schwachstelle in PeopleSoft Enterprise SCM ermöglicht u. a. Manipulation von DatenCVE-2021-35543
Schwachstelle in PeopleSoft Enterprise CC Common Application Objects ermöglicht u. a. Manipulation von DatenCVE-2021-35553
Schwachstelle in PeopleSoft Enterprise CS Student Records ermöglicht u. a. Manipulation von DatenCVE-2021-35568
Schwachstelle in PeopleSoft Enterprise PeopleTools ermöglicht u. a. Manipulation von DatenCVE-2021-35571
Schwachstelle in PeopleSoft Enterprise CS Academic Advisement ermöglicht u. a. Manipulation von DatenCVE-2021-35595
Schwachstelle in PeopleSoft Enterprise PeopleTools ermöglicht u. a. Manipulation von DatenCVE-2021-35601
Schwachstelle in PeopleSoft Enterprise CS SA Integration Pack ermöglicht Ausspähen von InformationenCVE-2021-35606
Schwachstelle in PeopleSoft Enterprise CS Campus Community ermöglicht Ausspähen von InformationenCVE-2021-35609
Schwachstelle in PeopleSoft Enterprise PeopleTools ermöglicht Ausspähen von InformationenCVE-2021-36090
Schwachstelle in Apache Commons Compress ermöglicht Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.