DFN-CERT

Advisory-Archiv

2023-0121: Oracle Datenbank-Produkte: Mehrere Schwachstellen ermöglichen u. a. die komplette Kompromittierung der Software

Historie:

Version 1 (2023-01-18 12:06)
Neues Advisory

Betroffene Software

Server

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um die Oracle Database Komponente Oracle Data Provider for .NET vollständig zu übernehmen (CVE-2023-21893), Dateien zu manipulieren, Informationen auszuspähen und Denial-of-Service (DoS)-Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers.

Oracle veröffentlicht anlässlich des Patchtages im Januar 2023 Sicherheitsupdates für die unterstützten Oracle Database Server Versionen 19c und 21c zur Behebung der Schwachstellen. Die vom Hersteller als schwerwiegendst eingestufte Schwachstelle CVE-2023-21893 betrifft auch 'Client-only'-Installationen auf Windows-Systemen.

Im Zuge der Behebung der Schwachstellen CVE-2020-10735 und CVE-2022-42003 werden zusätzlich die Schwachstellen CVE-2018-25032 bzw. CVE-2022-42004 behoben, die aber hier nicht weiter aufgeführt werden. Außerdem gibt Oracle an, dass mittels der verfügbaren Updates auch Schwachstellen in Drittanbieter-Komponenten adressiert werden, die in diesen Oracle-Produkten nicht ausnutzbar sind.

Schwachstellen:

CVE-2018-25032

Schwachstelle in GNU zlib ermöglicht Denial-of-Service-Angriff

CVE-2020-10735

Schwachstelle in Python ermöglicht Denial-of-Service-Angriff

CVE-2021-3737

Schwachstelle in Python ermöglicht Denial-of-Service-Angriff

CVE-2022-39429

Schwachstelle in Oracle Database Server ermöglicht Denial-of-Service-Angriff

CVE-2022-42003

Schwachstelle in jackson-databind ermöglicht Denial-of-Service-Angriff

CVE-2023-21827

Schwachstelle in Oracle Database Server ermöglicht Ausspähen von Informationen

CVE-2023-21829

Schwachstelle in Oracle Database Server ermöglicht u. a. Manipulation von Daten

CVE-2023-21893

Schwachstelle in Oracle Database Server ermöglicht komplette Kompromittierung der Software

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.