2022-0879: Oracle PeopleSoft Products: Mehrere Schwachstellen ermöglichen u. a. die komplette Kompromittierung der Software

Historie:

Version 1 (2022-04-20 17:03)

Neues Advisory

Betroffene Software

Entwicklung
Middleware

Betroffene Plattformen

Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um eine betroffene Komponente komplett zu kompromittieren, Daten zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting (XSS)-Angriff, einen HTTP-Request-Smuggeling-Angriff und einen Denial-of-Service (DoS)-Angriff durchzuführen. Eine Schwachstelle kann ein Angreifer lokal ausnutzen, um Informationen auszuspähen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Und die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.

Oracle veröffentlicht mit dem Patchtag im April 2022 Sicherheitsupdates zur Behebung der Schwachstellen in den Oracle PeopleSoft Produkten. Oracle weist außerdem drauf hin, dass durch die Behebung der Schwachstellen CVE-2021-3518, CVE-2021-41165, CVE-2021-44533 un CVE-2021-44832 auch die Schwachstellen CVE-2019-20388, CVE-2020-24977, CVE-2020-7595, CVE-2021-3517, CVE-2021-3537, CVE-2021-41164, CVE-2021-44531, CVE-2021-44532, CVE-2022-21824 und CVE-2021-45105 adressiert werden.

Schwachstellen:

CVE-2020-8908

Schwachstelle in Google Guava ermöglicht Ausspähen von Informationen

CVE-2021-3518

Schwachstelle in LibXML2 ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-37714

Schwachstelle in jsoup ermöglicht Denial-of-Service-Angriff

CVE-2021-40690

Schwachstelle in Apache Santuario - XML Security for Java ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-41165

Schwachstelle in CKEditor ermöglicht Cross-Site-Scripting-Angriff

CVE-2021-4160

Schwachstelle in OpenSSL ermöglicht Ausspähen von Informationen

CVE-2021-43797

Schwachstelle in Netty ermöglicht HTTP-Request-Smuggling-Angriff

CVE-2021-44533

Schwachstelle in Node.js ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-44832

Schwachstelle in Apache Log4j ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-21447

Schwachstelle in PeopleSoft Enterprise CS Academic Advisement ermöglicht Ausspähen von Informationen

CVE-2022-21450

Schwachstelle in PeopleSoft Enterprise PRTL Interaction Hub ermöglicht u. a. Manipulation von Daten

CVE-2022-21456 CVE-2022-21458

Schwachstellen in PeopleSoft Enterprise PeopleTools ermöglichen u. a. Manipulation von Daten

CVE-2022-21470

Schwachstelle in PeopleSoft Enterprise PeopleTools ermöglicht u. a. Manipulation von Daten

CVE-2022-21481

Schwachstelle in PeopleSoft Enterprise FIN Cash Management ermöglicht u. a. Manipulation von Daten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.