2022-2305: Oracle Fusion Middleware: Mehrere Schwachstellen ermöglichen u. a. die komplette Kompromittierung der betroffenen Software

Historie:

Version 1 (2022-10-19 14:31)

Neues Advisory

Betroffene Software

Entwicklung
Middleware
Netzwerk
Office
Server
Sicherheit
Systemsoftware

Betroffene Plattformen

Linux
Microsoft
Oracle
UNIX

Beschreibung:

In der Oracle Fusion Middleware existieren mehrere Schwachstellen in einer Vielzahl von Komponenten. Hervorzuheben sind Schwachstellen in den Komponenten Oracle Business Intelligence Enterprise Edition, Oracle Data Integrator, Oracle HTTP Server, Oracle Middleware Common Libraries and Tools, Oracle Outside In Technology, Oracle WebCenter Content, Oracle WebCenter Portal, Oracle WebCenter Sites, Oracle Identity Management Suite, Oracle Business Process Management Suite und Oracle WebLogic Server, die einem Angreifer die vollständige Kompromittierung der betroffenen Software aus der Ferne überwiegend ohne vorherige Authentifizierung ermöglichen.

Darüber hinaus kann ein solcher Angreifer mehrere Schwachstellen ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen, einen Cross-Site-Scripting (XSS)-Angriff und einen Denial-of-Service (DoS)-Angriff durchzuführen. Ein Angreifer kann mehrere Schwachstellen lokal ausnutzen, um Informationen auszuspähen und einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.

Durch die Behebung der Schwachstellen CVE-2020-14155, CVE-2020-24977, CVE-2021-3537, CVE-2021-36090, CVE-2022-22971, CVE-2022-23305, CVE-2022-23943,
CVE-2022-24729, CVE-2022-24823, CVE-2022-25315 und CVE-2022-30126 werden zusätzlich die hier nicht extra referenzierten Schwachstellen CVE-2019-20838, CVE-2019-19956, CVE-2019-20388, CVE-2020-24977, CVE-2020-7595, CVE-2021-3517, CVE-2021-3518, CVE-2021-35515, CVE-2021-35516, CVE-2021-35517, CVE-2022-22970,
CVE-2021-4104, CVE-2022-23302, CVE-2022-23307, CVE-2019-10092, CVE-2020-1934, CVE-2022-22720, CVE-2022-24728, CVE-2021-21290, CVE-2022-23990, CVE-2022-25235, CVE-2022-25236, CVE-2022-25313, CVE-2022-25314 und CVE-2022-25169 adressiert.

Oracle veröffentlicht mit dem Patchtag im Oktober 2022 Sicherheitsupdates für die betroffenen Komponenten.

Schwachstellen:

CVE-2018-25032

Schwachstelle in GNU zlib ermöglicht Denial-of-Service-Angriff

CVE-2019-17195

Schwachstelle in Connect2id Nimbus ermöglicht u. a. einen Denial-of-Service-Angriff

CVE-2020-13936

Schwachstelle in Apache Velocity Engine ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-14155

Schwachstelle in Perl-Compatible-Regular-Expression (PCRE) ermöglicht Denial-of-Service-Angriff

CVE-2020-17521

Schwachstelle in Apache Groovy ermöglicht Ausspähen von Informationen

CVE-2020-24977

Schwachstelle in LibXML2 ermöglicht Denial-of-Service-Angriff

CVE-2020-28052

Schwachstelle in Bouncy Castle ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-36518

Schwachstelle in jackson-databind ermöglicht Denial-of-Service-Angriff

CVE-2021-23450

Schwachstelle in Dojo ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-29425

Schwachstelle in Apache Commons IO ermöglicht Path-Traversal-Angriff

CVE-2021-34429

Schwachstelle in Jetty ermöglicht u. a. Ausspähen von Informationen

CVE-2021-3537

Schwachstelle in LibXML2 ermöglicht Denial-of-Service-Angriff

CVE-2021-36090

Schwachstelle in Apache Commons Compress ermöglicht Denial-of-Service-Angriff

CVE-2021-40690

Schwachstelle in Apache Santuario - XML Security for Java ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-41184

Schwachstelle in jQuery-UI ermöglicht Cross-Site-Scripting-Angriff

CVE-2021-43859

Schwachstelle in XStream ermöglicht Denial-of-Service-Angriff

CVE-2022-21590

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Ausspähen von Informationen

CVE-2022-21593

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Ausspähen von Informationen

CVE-2022-21609

Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von Informationen

CVE-2022-21612

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Manipulation von Daten

CVE-2022-21613

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Ausspähen von Informationen

CVE-2022-21614

Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von Informationen

CVE-2022-21615

Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von Informationen

CVE-2022-21616

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Denial-of-Service-Angriff

CVE-2022-21622

Schwachstelle in Oracle Fusion Middleware ermöglicht Manipulation von Daten

CVE-2022-22968

Schwachstelle in Spring Framework ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-22971

Schwachstelle in Spring Framework ermöglicht Denial-of-Service-Angriff

CVE-2022-23305

Schwachstelle in Apache Log4j ermöglicht Ausführen beliebigen SQL-Codes

CVE-2022-23437

Schwachstelle in Xerces2 Java XML Parser ermöglicht Denial-of-Service-Angriff

CVE-2022-23943

Schwachstelle in Apache HTTP Server ermöglicht u. a. Ausführen beliebigen Programmcodees

CVE-2022-24729

Schwachstelle in CKEditor und Drupal Core ermöglicht Denial-of-Service-Angriff

CVE-2022-24823

Schwachstelle in Netty ermöglicht Ausspähen von Informationen

CVE-2022-25315

Schwachstelle in Expat (libexpat) ermöglicht u. a. Denial-of-Service-Angriff

CVE-2022-25647

Schwachstelle in Gson ermöglicht Denial-of-Service-Angriff

CVE-2022-30126

Schwachstelle in Apache Tika ermöglicht Denial-of-Service-Angriff

CVE-2022-32532

Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der Software

CVE-2022-33980

Schwachstelle in Apache Commons ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-39405

Schwachstelle in Oracle Fusion Middleware ermöglicht Manipulation von Daten

CVE-2022-39412

Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.