DFN-CERT

Advisory-Archiv

2022-2314: Oracle Datenbank-Produkte: Mehrere Schwachstellen ermöglichen u. a. die komplette Kompromittierung der Software

Historie:

Version 1 (2022-10-19 15:29)
Neues Advisory

Betroffene Software

Server

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Oracle Database Komponenten vollständig zu übernehmen, Daten zu manipulieren, Informationen auszuspähen und einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Eine Schwachstelle erfordert die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung einer Schwachstelle kann Einfluss auf andere Komponenten haben.

Oracle veröffentlicht anlässlich des Patchtages im Oktober 2022 Sicherheitsupdates für die unterstützten Oracle Database Server Versionen 19c und 21c zur Behebung der Schwachstellen. Die Schwachstellen CVE-2022-1587 und CVE-2022-21606 betreffen nur Windows-Systeme.

Im Zuge der Behebung der Schwachstellen CVE-2021-41495 und CVE-2022-1587 werden zusätzlich die Schwachstellen CVE-2021-41496 bzw. CVE-2022-1586 behoben, die aber hier nicht weiter aufgeführt werden. Außerdem gibt Oracle an, dass mittels der verfügbaren Updates auch Schwachstellen in Drittanbieter-Komponenten adressiert werden, die in diesen Oracle-Produkten nicht ausnutzbar sind.

Schwachstellen:

CVE-2020-36518

Schwachstelle in jackson-databind ermöglicht Denial-of-Service-Angriff

CVE-2021-41495

Schwachstelle in NumPy ermöglicht Denial-of-Service-Angriff

CVE-2022-1587

Schwachstelle in Perl-Compatible-Regular-Expression (PCRE) Bibliothek 2 ermöglicht u. a. Denial-of-Service-Angriff

CVE-2022-21596

Schwachstelle in Oracle Database Server ermöglicht Erlangen von Administratorrechten

CVE-2022-21603

Schwachstelle in Oracle Database Server ermöglicht Erlangen von Administratorrechten

CVE-2022-21606

Schwachstelle in Oracle Database Server ermöglicht u. a. Manipulation von Daten

CVE-2022-39419

Schwachstelle in Oracle Database Server ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.