2022-0869: Oracle Systems: Mehrere Schwachstellen ermöglichen u. a. die komplette Kompromittierung der betroffenen Software
Historie:
- Version 1 (2022-04-20 18:24)
- Neues Advisory
Betroffene Software
Datensicherung
Netzwerk
Systemsoftware
Virtualisierung
Betroffene Plattformen
Oracle
UNIX
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um die betroffenee Software vollständig zu kompromittieren, Dateien zu manipulieren, Informationen auszuspähen, beliebigen Programmcode auszuführen, einen Path-Traversal-Angriff und Denial-of-Service (DoS)-Angriffe durchzuführen. Ein Angreifer kann mehrere Schwachstellen lokal ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen und Denial-of-Service (DoS)-Angriffe durchzuführen.
Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Die Schwachstellen CVE-2020-6950, CVE-2021-2351, CVE-2020-5421, CVE-2019-3740, CVE-2020-11022, CVE-2022-21493, CVE-2022-21416 und CVE-2022-21494 erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung der Schwachstellen CVE-2021-2351, CVE-2020-5421, CVE-2020-11022 und CVE-2022-21493 kann Einfluss auf andere Komponenten haben.
Mit der Behebung der Schwachstellen CVE-2019-3740 werden auch die Schwachstellen CVE-2019-3738 und CVE-2019-3739 adressiert, die Schwachstelle CVE-2020-11022 adressiert auch CVE-2020-11023 und der Patch für die Schwachstelle CVE-2021-39275 adressiert darüber hinaus die Schwachstellen CVE-2019-13038, CVE-2019-14822, CVE-2021-25219, CVE-2021-33193, CVE-2021-34798, CVE-2021-36160, CVE-2021-4034, CVE-2021-40438, CVE-2021-41617, CVE-2021-4181, CVE-2021-4182, CVE-2021-4183, CVE-2021-4184, CVE-2021-4185, CVE-2021-42717, CVE-2021-43395, CVE-2021-43818, CVE-2021-44224, CVE-2021-44790, CVE-2022-0391, CVE-2022-0778, CVE-2022-21271, CVE-2022-21375, CVE-2022-21384, CVE-2022-21439, CVE-2022-21446, CVE-2022-21461, CVE-2022-21463, CVE-2022-21493, CVE-2022-21494, CVE-2022-21716, CVE-2022-22719, CVE-2022-22720, CVE-2022-22721, CVE-2022-23943, CVE-2022-25235, CVE-2022-25236, CVE-2022-25313, CVE-2022-25314 und CVE-2022-25315.
Oracle stellt im Rahmen des Patchtags im April 2022 Hinweise zu den Schwachstellen in Oracle Solaris Cluster 4, Oracle ZFS Storage Appliance Kit 8.8, Oracle StorageTek ACSLS 8.5.1, Oracle StorageTek Tape Analytics (STA) 2.4, Oracle Solaris 11 sowie zu den Firmware-Versionen von Oracle Ethernet Switch ES1-24 und Oracle Ethernet Switch TOR-72 zur Verfügung und veröffentlicht entsprechende Sicherheitsupdates.
Schwachstellen:
CVE-2019-17195
Schwachstelle in Connect2id Nimbus ermöglicht u. a. einen Denial-of-Service-AngriffCVE-2019-3740
Schwachstelle in Oracle Database Server, Oracle Fusion Middleware und Oracle Systems ermöglicht Ausspähen von InformationenCVE-2020-11022
Schwachstelle in jQuery ermöglicht Ausführen beliebigen ProgrammcodesCVE-2020-11979
Schwachstelle in Apache Ant ermöglicht Manipulation von DateienCVE-2020-1968
Schwachstelle in OpenSSL ermöglicht Ausspähen von InformationenCVE-2020-5421
Schwachstelle in Oracle MySQL ermöglicht u. a. Manipulation von DatenCVE-2020-6950
Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von InformationenCVE-2020-9488
Schwachstelle in Apache Log4j ermöglicht Ausspähen von InformationenCVE-2021-2351
Schwachstelle in Oracle Database Server u. a. Oracle Produkten ermöglicht komplette Kompromittierung der SoftwareCVE-2021-29425
Schwachstelle in Apache Commons IO ermöglicht Path-Traversal-AngriffCVE-2021-39275
Schwachstelle in Apache HTTP-Server ermöglicht u. a. Denial-of-Service-AngriffCVE-2022-21416
Schwachstelle in Oracle Systems ermöglicht Manipulation von DatenCVE-2022-21446
Schwachstelle in Oracle Systems ermöglicht u. a. Manipulation von DatenCVE-2022-21461
Schwachstelle in Oracle Systems ermöglicht Ausspähen von InformationenCVE-2022-21463
Schwachstelle in Oracle Systems ermöglicht Denial-of-Service-AngriffCVE-2022-21493
Schwachstelle in Oracle Systems ermöglicht Denial-of-Service-AngriffCVE-2022-21494
Schwachstelle in Oracle Systems ermöglicht Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.