2023-0109: Oracle JD Edwards: Zwei Schwachstellen ermöglichen u. a. die komplette Kompromittierung der betroffenen Komponente

Historie:

Version 1 (2023-01-18 09:00)

Neues Advisory

Betroffene Software

Middleware

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Eine Schwachstelle (CVE-2022-26336) in JD Edwards EnterpriseOne Tools kann ein Angreifer lokal ausnutzen, um einen Denial-of-Service (DoS)-Zustand zu bewirken. Für die erfolgreiche Ausnutzung der Schwachstelle ist die Interaktion eines Benutzers erforderlich.
Ein Angreifer kann eine weitere Schwachstelle (CVE-2022-42889) in JD Edwards EnterpriseOne Orchestrator aus der Ferne ausnutzen, um die Komponente vollständig zu übernehmen. Für die Ausnutzung der Schwachstellen in diesen Produkten sind keine Privilegien erforderlich.

Oracle veröffentlicht im Zuge des Patchtages im Januar 2023 JD Edwards EnterpriseOne Tools und JD Edwards EnterpriseOne Orchestrator jeweils in Version 9.2.7.2, um die Schwachstellen zu beheben.

Schwachstellen:

CVE-2022-26336

Schwachstelle in Apache POI ermöglicht Denial-of-Service-Angriff

CVE-2022-42889

Schwachstelle in Apache Commons Text ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.