2023-0119: Oracle Fusion Middleware: Mehrere Schwachstellen ermöglichen u. a. die komplette Kompromittierung der betroffenen Software

Historie:

Version 1 (2023-01-18 17:21)

Neues Advisory

Version 2 (2023-05-02 10:46)

CISA hat die Schwachstelle CVE-2023-21839 in Oracle WebLogic Server in den Katalog ausgenutzter Schwachstellen aufgenommen.

Betroffene Software

Entwicklung
Middleware
Netzwerk
Office
Server
Sicherheit
Systemsoftware

Betroffene Plattformen

Linux
Microsoft
Oracle
UNIX

Beschreibung:

In Oracle Fusion Middleware existieren mehrere Schwachstellen in den Komponenten Middleware Common Libraries and Tools, Oracle Business Intelligence Enterprise Edition, Oracle Coherence, Oracle Global Lifecycle Management NextGen OUI Framework, Oracle HTTP Server, Oracle Outside In Technology, Oracle WebCenter Content, Oracle WebCenter Sites, Oracle WebLogic Server und Oracle BI Publisher, die einem Angreifer die vollständige Kompromittierung der betroffenen Software aus der Ferne überwiegend ohne vorherige Authentifizierung ermöglichen. Darüber hinaus kann ein solcher Angreifer mehrere Schwachstellen ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Ein Angreifer kann außerdem mehrere Schwachstellen lokal ausnutzen, um Administratorrechte zu erlangen, Informationen auszuspähen, beliebigen Programmcode auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung zweier Schwachstellen kann Einfluss auf andere Komponenten haben.

Oracle veröffentlicht mit dem Patchtag im Januar 2023 Sicherheitsupdates für die betroffenen Komponenten.

Mit Behebung der Schwachstellen CVE-2018-7489, CVE-2020-10693, CVE-2020-11987, CVE-2021-31812, CVE-2021-36090, CVE-2022-1122, CVE-2022-23305, CVE-2022-23457, CVE-2022-27404, CVE-2022-27782, CVE-2022-29824, CVE-2022-31813, CVE-2022-40146, CVE-2022-40150 und CVE-2022-42003 werden zusätzliche Schwachstellen behoben, die aber hier nicht weiter aufgeführt werden.

Schwachstellen:

CVE-2018-25032

Schwachstelle in GNU zlib ermöglicht Denial-of-Service-Angriff

CVE-2018-7489

Schwachstelle in jackson-databind ermöglicht Ausführung beliebigen Programmcodes

CVE-2020-10693

Schwachstelle in Hibernate Validator ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-11987

Schwachstelle in Apache Batik ermöglicht Server-Side-Request-Forgery-Angriff

CVE-2020-13956

Schwachstelle in Apache HttpComponents HttpClient ermöglicht u. a. Manipulation von Daten

CVE-2021-31812

Schwachstelle in Apache PDFBox ermöglicht Denial-of-Service-Angriff

CVE-2021-36090

Schwachstelle in Apache Commons Compress ermöglicht Denial-of-Service-Angriff

CVE-2021-36770

Schwachstelle in perl-Encode ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-42717

Schwachstelle in ModSecurity ermöglicht Denial-of-Service-Angriff

CVE-2022-1122

Schwachstelle in OpenJPEG ermöglicht Denial-of-Service-Angriff

CVE-2022-2274

Schwachstelle in OpenSSL ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-23305

Schwachstelle in Apache Log4j ermöglicht Ausführen beliebigen SQL-Codes

CVE-2022-23457

Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der Software

CVE-2022-24329 CVE-2023-21861 CVE-2023-21891 CVE-2023-21892

Schwachstellen in Oracle Fusion Middleware ermöglichen u. a. Manipulation von Daten

CVE-2022-25236

Schwachstelle in Expat (libexpat) ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2022-25647

Schwachstelle in Gson ermöglicht Denial-of-Service-Angriff

CVE-2022-27404

Schwachstelle in FreeType ermöglicht u. a. Denial-of-Service-Angriff

CVE-2022-27782

Schwachstelle in libcurl ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-29824

Schwachstelle in LibXML2 ermöglicht u. a. Denial-of-Service-Angriff

CVE-2022-3171

Schwachstelle in protobuf-java und protobuf-javalite ermöglicht Denial-of-Service-Angriff

CVE-2022-31813

Schwachstelle in Apache httpd ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-37434

Schwachstelle in GNU zlib ermöglicht Denial-of-Service-Angriff

CVE-2022-40146

Schwachstelle in Apache Batik ermöglicht Ausspähen von Informationen

CVE-2022-40150

Schwachstelle in Jettison ermöglicht Denial-of-Service-Angriff

CVE-2022-40153 CVE-2023-21838

Schwachstellen in Oracle Fusion Middleware ermöglichen Denial-of-Service-Angriff

CVE-2022-40664

Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der Software

CVE-2022-42003

Schwachstelle in jackson-databind ermöglicht Denial-of-Service-Angriff

CVE-2022-42889

Schwachstelle in Apache Commons Text ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-42920

Schwachstelle in BCEL ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-43680

Schwachstelle in Expat ermöglicht Denial-of-Service-Angriff

CVE-2022-45047

Schwachstelle in Apache MINA ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-21832 CVE-2023-21846

Schwachstellen in Oracle Fusion Middleware ermöglichen komplette Kompromittierung der Software

CVE-2023-21837 CVE-2023-21839 CVE-2023-21841 CVE-2023-21842

Schwachstellen in Oracle Fusion Middleware ermöglichen Ausspähen von Informationen

CVE-2023-21859

Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von Informationen

CVE-2023-21862

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Manipulation von Daten

CVE-2023-21894

Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der Software

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.