2022-0874: Oracle E-Business Suite Produkte: Mehrere Schwachstellen ermöglichen u. a. die komplette Kompromittierung der Software

Historie:

Version 1 (2022-04-20 15:30)

Neues Advisory

Betroffene Software

Middleware

Betroffene Plattformen

HP
IBM
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein Angreifer kann zwei Schwachstellen in Apache Log4j, das in Oracle E-Business Suite Information Discovery Version 7 bis 9, Oracle Enterprise Command Center Framework 7.0 in der Oracle E-Business Suite Version 12.2 sowie Oracle E-Business Suite Cloud Manager und Cloud Backup Module vor Version 22.1.1.1 eingesetzt wird, aus der Ferne ausnutzen, um die jeweilige Komponente komplett zu kompromittieren. Zwei weitere Schwachstellen im Oracle Applications Framework ermöglichen einem Angreifer aus der Ferne das Ausspähen und Manipulieren von Daten.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Zwei Schwachstellen erfordern die Interaktion eines Benutzers und können im Falle einer erfolgreichen Ausnutzung Einfluss auf andere Komponenten haben.

Oracle veröffentlicht im Zuge des April 2022 Patchtages Sicherheitsupdates zur Behebung der Schwachstellen und gibt an, dass mittels des Patches zur Behebung der Schwachstelle CVE-2022-23305 auch die Schwachstellen CVE-2021-4104, CVE-2022-23302 und CVE-2022-23307 adressiert werden.

Oracle weist darauf hin, dass die Oracle E-Business Suite Produkte Komponenten der Oracle Database und Oracle Fusion Middleware umfassen, die von weiteren Schwachstellen betroffen sind, welche mit dem April Patchtag 2022 behoben werden. Da die Verwundbarkeit der Oracle E-Business Suite Produkte von den verwendeten Versionen dieser Komponenten abhängig ist, wird auch die Installation dieser Updates (siehe weitere Schwachstellenmeldung) empfohlen, um die Oracle E-Business Suite Produkte abzusichern.

Schwachstellen:

CVE-2021-44832

Schwachstelle in Apache Log4j ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-21468

Schwachstelle in Oracle Applications Framework ermöglicht u. a. Manipulation von Dateien

CVE-2022-21477

Schwachstelle in Oracle Applications Framework ermöglicht u. a. Manipulation von Dateien

CVE-2022-23305

Schwachstelle in Apache Log4j ermöglicht Ausführen beliebigen SQL-Codes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.