2022-2309: Oracle JD Edwards: Mehrere Schwachstellen ermöglichen u. a. die komplette Kompromittierung der Software
Historie:
- Version 1 (2022-10-19 12:05)
- Neues Advisory
Betroffene Software
Middleware
Betroffene Plattformen
Apple
Linux
Microsoft
Oracle
UNIX
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen in JD Edwards EnterpriseOne Tools und JD Edwards EnterpriseOne Orchestrator aus der Ferne ausnutzen, um die Software vollständig zu kompromittieren, Informationen auszuspähen, Daten zu manipulieren und verschiedene Denial-of-Service (DoS)-Angriffe durchzuführen.
Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.
Oracle stellt im Zuge des Patchtages im Oktober 2022 Sicherheitsupdates für JD Edwards EnterpriseOne Tools 9.2.6.4 und JD Edwards EnterpriseOne Orchestrator 9.2.6.4 bereit, um die Schwachstellen zu adressieren.
Mit der Behebung der Schwachstelle CVE-2022-1292 wird auch die Schwachstelle CVE-2022-0778 adressiert.
Schwachstellen:
CVE-2020-36518
Schwachstelle in jackson-databind ermöglicht Denial-of-Service-AngriffCVE-2021-43527
Schwachstelle in Network Security Services (NSS) ermöglicht Ausführen beliebigen ProgrammcodesCVE-2022-1292
Schwachstelle in OpenSSL ermöglicht Ausführen beliebigen ProgrammcodesCVE-2022-21629
Schwachstelle in JD Edwards EnterpriseOne Tools ermöglicht u. a. Ausspähen von InformationenCVE-2022-21630
Schwachstelle in JD Edwards EnterpriseOne Tools ermöglicht u. a. Ausspähen von InformationenCVE-2022-21631
Schwachstelle in JD Edwards EnterpriseOne Tools ermöglicht u. a. Ausspähen von InformationenCVE-2022-23437
Schwachstelle in Xerces2 Java XML Parser ermöglicht Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.