2022-1612: Oracle Datenbank-Produkte: Mehrere Schwachstellen ermöglichen u. a. die Manipulation von Daten

Historie:

Version 1 (2022-07-20 11:13)

Neues Advisory

Betroffene Software

Server
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Daten zu manipulieren, einen Cross-Site-Scripting (XSS)-Angriff und Denial-of-Service (DoS)-Angriffe durchzuführen. Zudem kann ein Angreifer zwei Schwachstellen lokal ausnutzen, um Informationen auszuspähen und einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung einer Schwachstelle kann Einfluss auf andere Komponenten haben.

Oracle veröffentlicht anlässlich des Patchtags im Juli 2022 Sicherheitsupdates für die unterstützten Oracle Database Server Versionen 12.1.0.2, 19c und 21c sowie Oracle Application Express in der Version 22.1.1 zur Behebung der Schwachstellen. Für 'Client-only'-Installationen steht ein Sicherheitsupdate bereit, um die Schwachstelle CVE-2020-35169 zu beheben.

Im Zuge der Behebung der Schwachstellen CVE-2020-35169, CVE-2021-41184 und CVE-2022-24729 werden zusätzliche Schwachstellen behoben, die aber hier nicht weiter aufgeführt werden. Außerdem gibt Oracle an, dass mittels der verfügbaren Updates auch Schwachstellen in Drittanbieter-Komponenten adressiert werden, die in diesen Oracle Produkten nicht ausnutzbar sind.

Schwachstellen:

CVE-2020-35169

Schwachstelle in Oracle Database Server ermöglicht u. a. Manipulation von Daten

CVE-2021-41184

Schwachstelle in jQuery-UI ermöglicht Cross-Site-Scripting-Angriff

CVE-2021-45943

Schwachstelle in GDAL ermöglicht Denial-of-Service-Angriff

CVE-2022-0839

Schwachstelle in Oracle Database Server ermöglicht Ausspähen von Informationen

CVE-2022-21432

Schwachstelle in Oracle Database Server ermöglicht Denial-of-Service-Angriff

CVE-2022-21565

Schwachstelle in Oracle Database Server ermöglicht Manipulation von Daten

CVE-2022-24729

Schwachstelle in CKEditor und Drupal Core ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.