2022-0872: Oracle Fusion Middleware: Mehrere Schwachstellen ermöglichen u. a. die komplette Kompromittierung der betroffenen Software

Historie:

Version 1 (2022-04-20 18:16)

Neues Advisory

Betroffene Software

Entwicklung
Middleware
Netzwerk
Server
Sicherheit
Systemsoftware

Betroffene Plattformen

Linux
Microsoft
Oracle
UNIX

Beschreibung:

In der Oracle Fusion Middleware existieren mehrere Schwachstellen in einer Vielzahl von Komponenten. Hervorzuheben sind Schwachstellen in den Komponenten Oracle Business Intelligence Enterprise Edition, Oracle Business Process Management Suite, Oracle Coherence, Oracle HTTP Server, Oracle Identity Management Suite, Oracle Identity Manager Connector, Oracle JDeveloper, Oracle Middleware Common Libraries and Tools, Oracle Tuxedo, Oracle WebLogic Server, Helidon, Oracle Internet Directory, Oracle Managed File Transfer, Oracle WebCenter Portal und Oracle WebCenter Sites, die einem Angreifer die vollständige Kompromittierung der betroffenen Software aus der Ferne und in einem Fall im benachbarten Netzwerk überwiegend ohne vorherige Authentifizierung ermöglichen.

Darüber hinaus kann ein solcher Angreifer Dateien manipulieren, Informationen ausspähen, Sicherheitsvorkehrungen umgehen, einen XML-External-Entity (XXE)-Angriff, einen Path-Traversal-Angriff, einen HTTP-Request-Smuggling-Angriff und verschiedene Denial-of-Service (DoS)-Angriffe durchführen. Ein Angreifer kann mehrere Schwachstellen lokal ausnutzen, um Informationen auszuspähen und weitere Denial-of-Service (DoS)-Angriffe durchzuführen.

Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.

Durch die Behebung der Schwachstellen CVE-2019-0227, CVE-2020-24977, CVE-2020-25649, CVE-2021-28170, CVE-2021-30129, CVE-2021-31812, CVE-2021-36090, CVE-2021-37137, CVE-2021-41165, CVE-2021-41184, CVE-2021-43797 und CVE-2022-23305 werden zusätzlich die hier nicht extra referenzierten Schwachstellen CVE-2018-2601, CVE-2018-8032, CVE-2021-22901, CVE-2021-39275, CVE-2021-44224, CVE-2020-35490, CVE-2020-35491, CVE-2020-35728, CVE-2020-36179, CVE-2020-36180, CVE-2020-36181, CVE-2020-36182, CVE-2020-36183, CVE-2020-36184, CVE-2020-36185, CVE-2020-36186, CVE-2020-36187, CVE-2020-36188, CVE-2020-36189, CVE-2020-10693, CVE-2021-41973, CVE-2021-31811, CVE-2021-35515, CVE-2021-35516, CVE-2021-35517, CVE-2021-37136, CVE-2021-41164, CVE-2021-41182, CVE-2021-41183, CVE-2021-21409, CVE-2021-37136, CVE-2021-37137, CVE-2021-4104, CVE-2022-23302 und CVE-2022-23307 adressiert.

Oracle veröffentlicht mit dem Patchtag im April 2022 Sicherheitsupdates für die betroffenen Komponenten.

Schwachstellen:

CVE-2018-11212

Schwachstelle in Oracle Java SE und Java SE Embedded (libjpeg-Komponente) ermöglicht Denial-of-Service-Angriff

CVE-2019-0227

Schwachstelle in Oracle Fusion Middleware, Oracle Secure Global Desktop, Oracle PeopleSoft ermöglicht komplette Kompromittierung der Software

CVE-2020-17521

Schwachstelle in Apache Groovy ermöglicht Ausspähen von Informationen

CVE-2020-24977

Schwachstelle in LibXML2 ermöglicht Denial-of-Service-Angriff

CVE-2020-25649

Schwachstelle in jackson-databind ermöglicht XML-External-Entity-Angriff

CVE-2020-7226

Schwachstelle in Cryptacular ermöglicht einen Denial-of-Service-Angriff

CVE-2020-8908

Schwachstelle in Google Guava ermöglicht Ausspähen von Informationen

CVE-2021-22901

Schwachstelle in curl ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-28170

Schwachstelle in Jakarta Expression Language ermöglicht Manipulation von Dateien

CVE-2021-28657

Schwachstelle in Apache Tika ermöglicht Denial-of-Service-Angriff

CVE-2021-29425

Schwachstelle in Apache Commons IO ermöglicht Path-Traversal-Angriff

CVE-2021-30129

Schwachstelle in Apache Mina SSHD Server ermöglicht Denial-of-Service-Angriff

CVE-2021-31812

Schwachstelle in Apache PDFBox ermöglicht Denial-of-Service-Angriff

CVE-2021-33037

Schwachstelle in Apache Tomcat ermöglicht HTTP-Request-Smuggling-Angriff

CVE-2021-36090

Schwachstelle in Apache Commons Compress ermöglicht Denial-of-Service-Angriff

CVE-2021-37137

Schwachstelle in Netty ermöglicht Denial-of-Service-Angriff

CVE-2021-37714

Schwachstelle in jsoup ermöglicht Denial-of-Service-Angriff

CVE-2021-39275

Schwachstelle in Apache HTTP-Server ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-40690

Schwachstelle in Apache Santuario - XML Security for Java ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-41165

Schwachstelle in CKEditor ermöglicht Cross-Site-Scripting-Angriff

CVE-2021-41184

Schwachstelle in jQuery-UI ermöglicht Cross-Site-Scripting-Angriff

CVE-2021-43797

Schwachstelle in Netty ermöglicht HTTP-Request-Smuggling-Angriff

CVE-2021-44224

Schwachstelle in Apache HTTP-Server ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-44832

Schwachstelle in Apache Log4j ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-21404

Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der Software

CVE-2022-21419

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Manipulation von Daten

CVE-2022-21420

Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der Software

CVE-2022-21421

Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von Informationen

CVE-2022-21441

Schwachstelle in Oracle Fusion Middleware ermöglicht Denial-of-Service-Angriff

CVE-2022-21445

Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der Software

CVE-2022-21448

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Manipulation von Daten

CVE-2022-21453

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Manipulation von Daten

CVE-2022-21492

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Manipulation von Daten

CVE-2022-21497

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Manipulation von Daten

CVE-2022-23305

Schwachstelle in Apache Log4j ermöglicht Ausführen beliebigen SQL-Codes

CVE-2022-23437

Schwachstelle in Xerces2 Java XML Parser ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.