2022-1610: Oracle Fusion Middleware: Mehrere Schwachstellen ermöglichen u. a. die komplette Kompromittierung der betroffenen Software

Historie:

Version 1 (2022-07-20 14:06)

Neues Advisory

Betroffene Software

Entwicklung
Middleware
Netzwerk
Office
Server
Sicherheit

Betroffene Plattformen

Linux
Microsoft
Oracle
UNIX

Beschreibung:

In der Oracle Fusion Middleware existieren mehrere Schwachstellen in einer Vielzahl von Komponenten. Hervorzuheben sind Schwachstellen in den Komponenten Oracle Middleware Common Libraries and Tools, Oracle WebLogic Server, Oracle WebCenter Portal und Oracle BI Publisher, die einem Angreifer die vollständige Kompromittierung der betroffenen Software aus der Ferne und in einem Fall im benachbarten Netzwerk überwiegend ohne vorherige Authentifizierung ermöglichen.

Darüber hinaus kann ein solcher Angreifer Dateien manipulieren, Informationen ausspähen, Sicherheitsvorkehrungen umgehen, falsche Informationen darzustellen und verschiedene Denial-of-Service (DoS)-Angriffe durchführen. Ein Angreifer kann mehrere Schwachstellen lokal ausnutzen, um Dateien zu manipulieren und einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.

Durch die Behebung der Schwachstellen CVE-2019-0227, CVE-2020-11023, CVE-2020-35169, CVE-2021-39139, CVE-2021-42340, CVE-2021-42575 und CVE-2022-23457 werden zusätzlich die hier nicht extra referenzierten Schwachstellen CVE-2018-8032, CVE-2020-11022, CVE-2020-26184, CVE-2020-26185, CVE-2020-29507, CVE-2021-39140, CVE-2021-39141, CVE-2021-39144, CVE-2021-39145, CVE-2021-39146, CVE-2021-39147, CVE-2021-39148, CVE-2021-39149, CVE-2021-39150, CVE-2021-39151, CVE-2021-39152, CVE-2021-39153, CVE-2021-39154, CVE-2020-9484, CVE-2022-23181, CVE-2021-35043 und CVE-2022-24891 adressiert.

Oracle veröffentlicht mit dem Patchtag im Juli 2022 Sicherheitsupdates für die betroffenen Komponenten.

Schwachstellen:

CVE-2019-0220

Schwachstelle in Apache HTTPd ermöglicht Denial-of-Service-Angriff

CVE-2019-0227

Schwachstelle in Oracle Fusion Middleware, Oracle Secure Global Desktop, Oracle PeopleSoft ermöglicht komplette Kompromittierung der Software

CVE-2019-10082

Schwachstelle in HTTP/2-Server ermöglicht Ausspähen von Informationen

CVE-2020-11023

Schwachstelle in jQuery ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-11987

Schwachstelle in Apache Batik ermöglicht Server-Side-Request-Forgery-Angriff

CVE-2020-1927

Schwachstelle in Apache HTTP Server ermöglicht Darstellen falscher Informationen

CVE-2020-28491

Schwachstelle in jackson-databind ermöglicht Denial-of-Service-Angriff

CVE-2020-35169

Schwachstelle in Oracle Database Server ermöglicht u. a. Manipulation von Daten

CVE-2020-36518

Schwachstelle in jackson-databind ermöglicht Denial-of-Service-Angriff

CVE-2021-23450

Schwachstelle in Dojo ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-2351

Schwachstelle in Oracle Database Server u. a. Oracle Produkten ermöglicht komplette Kompromittierung der Software

CVE-2021-23926

Schwachstelle in XMLBeans ermöglicht XML-External-Entity-Angriff

CVE-2021-26291

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Manipulation von Daten

CVE-2021-30129

Schwachstelle in Apache Mina SSHD Server ermöglicht Denial-of-Service-Angriff

CVE-2021-35940

Schwachstelle in Apache Portable Runtime (APR) ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-37714

Schwachstelle in jsoup ermöglicht Denial-of-Service-Angriff

CVE-2021-39139

Schwachstelle in XStream ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-40690

Schwachstelle in Apache Santuario - XML Security for Java ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-42340

Schwachstelle in Apache Tomcat ermöglicht Denial-of-Service-Angriff

CVE-2021-42575

Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der Software

CVE-2022-21523

Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von Informationen

CVE-2022-21548

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Denial-of-Service-Angriff

CVE-2022-21552

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Manipulation von Daten

CVE-2022-21557

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Manipulation von Daten

CVE-2022-21560

Schwachstelle in Oracle Fusion Middleware ermöglicht Denial-of-Service-Angriff

CVE-2022-21562

Schwachstelle in Oracle Fusion Middleware ermöglicht Manipulation von Daten

CVE-2022-21564

Schwachstelle in Oracle Fusion Middleware ermöglicht Denial-of-Service-Angriff

CVE-2022-21570

Schwachstelle in Oracle Fusion Middleware ermöglicht Denial-of-Service-Angriff

CVE-2022-21575

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Ausspähen von Informationen

CVE-2022-22965

Schwachstelle in Spring Framework ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-23437

Schwachstelle in Xerces2 Java XML Parser ermöglicht Denial-of-Service-Angriff

CVE-2022-23457

Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der Software

CVE-2022-24839

Schwachstelle in Oracle Fusion Middleware ermöglicht Denial-of-Service-Angriff

CVE-2022-29577

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Manipulation von Daten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.