2022-0125: Oracle Datenbank-Produkte: Mehrere Schwachstellen ermöglichen u. a. Cross-Site-Scripting-Angriffe

Historie:

Version 1 (2022-01-19 12:05)

Neues Advisory

Betroffene Software

Server
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen sowie Cross-Site-Scripting (XSS)-Angriffe und einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers oder können Einfluss auf andere Komponenten haben.

Oracle veröffentlicht anlässlich des Patchtags im Januar 2022 Sicherheitsupdates für die unterstützten Oracle Database Server Versionen 12.1.0.2, 12.2.0.1, 19c und 21c sowie Oracle Application Express in Version 21.1.4 zur Behebung der Schwachstellen. Version 12.2.0.1 wird nur noch bis März 2022 unterstützt und erfährt danach keinen "Extended Support" (ES). Benutzern von Version 12.2.0.1 oder 18c wird geraten, auf Version 19c (Long Term Release) zu aktualisieren.

Oracle gibt weiterhin bekannt, dass mit den Sicherheitsupdates zusätzlich auch die in den Oracle Database Server Versionen nicht ausnutzbaren Schwachstellen CVE-2021-36090, CVE-2021-35515, CVE-2021-35516, CVE-2021-35517 in Oracle Database Configuration Assistant, CVE-2021-45105 in Oracle Spatial and Graph und Trace file analyzer sowie CVE-2020-8908, CVE-2021-28165, CVE-2021-28169 und CVE-2021-34428 in Workload Manager behoben werden.

Schwachstellen:

CVE-2021-32723

Schwachstelle in Oracle Application Express (APEX) ermöglicht Denial-of-Service-Angriff

CVE-2021-32808

Schwachstelle in CKEditor ermöglicht Cross-Site-Scripting-Angriff

CVE-2021-32809

Schwachstelle in CKEditor ermöglicht Cross-Site-Scripting-Angriff

CVE-2021-37695

Schwachstelle in CKEditor ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-21247

Schwachstelle in Oracle Database Server ermöglicht Ausspähen von Informationen

CVE-2022-21393

Schwachstelle in Oracle Database Server ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.