2022-0119: Oracle Fusion Middleware: Mehrere Schwachstellen ermöglichen u. a. die komplette Kompromittierung der betroffenen Software

Historie:

Version 1 (2022-01-19 13:22)

Neues Advisory

Version 2 (2022-11-30 12:01)

Die Schwachstelle CVE-2021-35587 in der Komponente 'OpenSSO Agent' von Oracle Access Manager, welche für Single Sign-on (SSO) in Oracle Fusion Middleware genutzt wird, erlaubt das Anlegen von Benutzern mit beliebigen Rechten, das Ausführen beliebigen Programmcodes und somit die vollständige Kompromittierung der Software. Im Oracle Access Manager in den Versionen 11.1.2.3.0, 12.2.1.3.0 und 12.2.1.4.0 wurde die Schwachstelle behoben. Der Entdecker der Schwachstelle weist aber darauf hin, dass sich diese Schwachstelle ebenfalls in Oracle Weblogic Server 11g (10.3.6.0) und Oracle Access Manager 11g (11.1.2.0.0) befindet. Diese Software wird seit Anfang 2022 nicht mehr unterstützt und ist somit mangels Patch weiterhin für diese Schwachstelle anfällig. Laut CISA (Cybersecurity and Infrastructure Security Agency) liegen inzwischen Hinweise auf einen funktionsfähigen Exploit und der aktiven Ausnutzung der Schwachstelle vor (siehe Referenzen).

Betroffene Software

Entwicklung
Middleware
Netzwerk
Office
Server
Sicherheit
Systemsoftware

Betroffene Plattformen

Linux
Microsoft
Oracle
UNIX

Beschreibung:

In Oracle Fusion Middleware existieren mehrere Schwachstellen in den Komponenten Oracle Access Manager, Oracle Business Intelligence Enterprise Edition, Oracle WebLogic Server, Oracle HTTP Server, Oracle Business Activity Monitoring, Oracle Data Integrator, Oracle Enterprise Data Quality, Oracle BI Publisher, Oracle Business Process Management Suite, Oracle Managed File Transfer, Oracle WebCenter Portal, Oracle Fusion Middleware MapViewer sowie Oracle Fusion Middleware, die es einem Angreifer aus der Ferne ermöglichen die Software vollständig zu kompromittieren, Informationen auszuspähen, Dateien zu manipulieren, beliebigen Programmcode auszuführen sowie einen Cross-Site-Scripting (XSS)-Angriff, Server-Side-Request-Forgery (SSRF)-Angriffe und Denial-of-Service (DoS)-Angriffe durchzuführen.

Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Mehrere Schwachstellen erfordern dabei die Interaktion eines Benutzers und die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.

Mit Behebung der Schwachstellen CVE-2018-1324, CVE-2020-11023, CVE-2021-36090, CVE-2021-39154 und CVE-2021-44832 werden zusätzliche Schwachstellen behoben, die aber hier nicht weiter aufgeführt werden.

Oracle veröffentlicht mit dem Patchtag im Januar 2022 Sicherheitsupdates für die betroffenen Komponenten. Darüber hinaus informiert Oracle, dass die Schwachstellen CVE-2021-44228 und CVE-2021-45046 in Apache Log4j mit diesen Sicherheitsupdates behoben werden.

Schwachstellen:

CVE-2018-1324

Schwachstelle in Apache Commons Compress ermöglicht Denial-of-Service-Angriff

CVE-2019-10219 CVE-2020-11023 CVE-2022-21361 CVE-2022-21386

Schwachstellen in Oracle Fusion Middleware ermöglichen u. a. Manipulation von Daten

CVE-2019-17566

Schwachstelle in Apache Batik ermöglicht Server-Side-Request-Forgery-Angriff

CVE-2020-13956

Schwachstelle in Apache HttpComponents HttpClient ermöglicht u. a. Manipulation von Daten

CVE-2020-17530

Schwachstelle in Apache Struts ermöglicht Ausführung beliebigen Programmcodes

CVE-2020-2934

Schwachstelle in Oracle MySQL Server ermöglicht u. a. Denial-of-Service-Angriff

CVE-2020-5258

Schwachstelle in Dojo ermöglicht Manipulation von Daten

CVE-2021-2351

Schwachstelle in Oracle Database Server u. a. Oracle Produkten ermöglicht komplette Kompromittierung der Software

CVE-2021-27568

Schwachstelle in netplex json-smart ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-29425

Schwachstelle in Apache Commons IO ermöglicht Path-Traversal-Angriff

CVE-2021-35587

Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der Software

CVE-2021-36090

Schwachstelle in Apache Commons Compress ermöglicht Denial-of-Service-Angriff

CVE-2021-39154

Schwachstelle in XStream ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-40438

Schwachstelle in Apache HTTP-Server ermöglicht Server-Side-Request-Forgery-Angriff

CVE-2021-4104

Schwachstelle in Apache Log4j ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-44832

Schwachstelle in Apache Log4j ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-45105

Schwachstelle in Apache Log4j ermöglicht Denial-of-Service-Angriff

CVE-2022-21252

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Manipulation von Daten

CVE-2022-21257 CVE-2022-21258 CVE-2022-21259 CVE-2022-21260 CVE-2022-21261 CVE-2022-21262

Schwachstellen in Oracle Fusion Middleware ermöglichen u. a. Manipulation von Daten

CVE-2022-21292

Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von Informationen

CVE-2022-21306

Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der Software

CVE-2022-21346

Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von Informationen

CVE-2022-21347 CVE-2022-21350 CVE-2022-21353

Schwachstellen in Oracle Fusion Middleware ermöglichen u. a. Denial-of-Service-Angriff

CVE-2022-21371

Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.