DFN-CERT

Advisory-Archiv

2023-0122: Oracle PeopleSoft Produkte: Mehrere Schwachstellen ermöglichen u. a. die komplette Kompromittierung der Software

Historie:

Version 1 (2023-01-18 11:55)
Neues Advisory

Betroffene Software

Entwicklung
Middleware

Betroffene Plattformen

Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um eine betroffene Komponente komplett zu kompromittieren, Dateien zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen und Denial-of-Service (DoS)-Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Eine Schwachstelle erfordert die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung zweier Schwachstellen kann Einfluss auf andere Komponenten haben.

Oracle veröffentlicht am Patchtag im Januar 2023 Sicherheitsupdates zur Behebung der Schwachstellen in den Oracle PeopleSoft Produkten PeopleSoft Enterprise CC Common Application Objects 9.2, PeopleSoft Enterprise CS Academic Advisement 9.2 sowie PeopleSoft Enterprise PeopleTools 8.58, 8.59 und 8.60.

Im Zuge der Behebung der Schwachstellen CVE-2022-25857, CVE-2022-27782, CVE-2022-40149 und CVE-2022-42003 werden zusätzlich die Schwachstellen CVE-2022-38749, CVE-2022-38750, CVE-2022-38751, CVE-2022-38752, CVE-2022-27778, CVE-2022-27779, CVE-2022-27780, CVE-2022-27781, CVE-2022-3011, CVE-2022-40150 und CVE-2022-42004 behoben, die aber hier nicht weiter aufgeführt werden.

Schwachstellen:

CVE-2020-10735

Schwachstelle in Python ermöglicht Denial-of-Service-Angriff

CVE-2021-3918

Schwachstelle in nodejs-json-schema ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2022-25857

Schwachstelle in SnakeYAML ermöglicht Denial-of-Service-Angriff

CVE-2022-27782

Schwachstelle in libcurl ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-31129

Schwachstelle in Moment.js ermöglicht Denial-of-Service-Angriff

CVE-2022-37434

Schwachstelle in GNU zlib ermöglicht Denial-of-Service-Angriff

CVE-2022-40149

Schwachstelle in Jettison ermöglicht Denial-of-Service-Angriff

CVE-2022-42003

Schwachstelle in jackson-databind ermöglicht Denial-of-Service-Angriff

CVE-2023-21831

Schwachstelle in Oracle PeopleSoft ermöglicht Ausspähen von Informationen

CVE-2023-21844

Schwachstelle in Oracle PeopleSoft ermöglicht u. a. Manipulation von Daten

CVE-2023-21845

Schwachstelle in Oracle PeopleSoft ermöglicht u. a. Manipulation von Daten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.