2023-0881: Oracle Fusion Middleware: Mehrere Schwachstellen ermöglichen u. a. die komplette Kompromittierung der betroffenen Software

Historie:

Version 1 (2023-04-19 17:15)

Neues Advisory

Betroffene Software

Entwicklung
Middleware
Netzwerk
Server
Sicherheit
Systemsoftware

Betroffene Plattformen

Linux
Microsoft
Oracle
UNIX

Beschreibung:

In Oracle Fusion Middleware existieren mehrere Schwachstellen in den Komponenten Oracle Data Integrator, Oracle Managed File Transfer, Oracle Middleware Common Libraries and Tools, Oracle HTTP Server und Oracle Business Process Management Suite, die einem Angreifer die vollständige Kompromittierung der betroffenen Software aus der Ferne ohne vorherige Authentifizierung ermöglichen. Darüber hinaus kann ein solcher Angreifer mehrere Schwachstellen ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen und verschiedene Denial-of-Service (DoS)-Angriffe durchzuführen. Ein Angreifer kann außerdem mehrere Schwachstellen lokal ausnutzen, um Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen und verschiedene Denial-of-Service (DoS)-Angriffe durchzuführen.

Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.

Oracle veröffentlicht mit dem Patchtag im April 2023 Sicherheitsupdates für die betroffenen Komponenten.

Mit Behebung der Schwachstellen CVE-2018-14371, CVE-2019-20916, CVE-2020-25638, CVE-2021-34798, CVE-2021-36374, CVE-2022-40151, CVE-2022-40304, CVE-2022-41881, CVE-2022-41966, CVE-2022-42003, CVE-2022-42890, CVE-2022-43551, CVE-2022-45685 und CVE-2022-45693 werden zusätzliche Schwachstellen behoben, die aber hier nicht weiter aufgeführt werden.

Schwachstellen:

CVE-2018-14371

Schwachstelle in Eclipse Mojarra ermöglicht Ausspähen von Informationen

CVE-2019-20916

Schwachstelle in python-pip ermöglicht Directory-Traversal-Angriff

CVE-2020-13954

Schwachstelle in Apache CXF ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-25638

Schwachstelle in Hibernate ermöglicht Ausführen beliebigen SQL-Programmcodes

CVE-2020-6950

Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von Informationen

CVE-2021-22569

Schwachstelle in Oracle Database Server, Oracle Fusion Middleware ermöglicht Denial-of-Service-Angriff

CVE-2021-31684

Schwachstelle in Json-smart ermöglicht Denial-of-Service-Angriff

CVE-2021-34798

Schwachstelle in Apache HTTP-Server ermöglicht Denial-of-Service-Angriff

CVE-2021-36090

Schwachstelle in Apache Commons Compress ermöglicht Denial-of-Service-Angriff

CVE-2021-36374

Schwachstelle in Apache Ant, Oracle Fusion Middleware ermöglicht Denial-of-Service-Angriff

CVE-2021-37533

Schwachstelle in Commons Net ermöglicht Ausspähen von Informationen

CVE-2022-22965

Schwachstelle in Spring Framework ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-29599

Schwachstelle in maven-shared-utils ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-31160

Schwachstelle in jQuery-UI ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-33980

Schwachstelle in Apache Commons ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-34305

Schwachstelle in Apache Tomcat ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-36033

Schwachstelle in jsoup ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-37434

Schwachstelle in GNU zlib ermöglicht Denial-of-Service-Angriff

CVE-2022-40149

Schwachstelle in Jettison ermöglicht Denial-of-Service-Angriff

CVE-2022-40151

Schwachstelle in XStream ermöglicht Denial-of-Service-Angriff

CVE-2022-40152

Schwachstelle in Woodstox ermöglicht Denial-of-Service-Angriff

CVE-2022-40304

Schwachstelle in LibXML2 ermöglicht u. a. Denial-of-Service-Angriff

CVE-2022-41881

Schwachstelle in Netty ermöglicht Denial-of-Service-Angriff

CVE-2022-41966

Schwachstelle in XStream ermöglicht Denial-of-Service-Angriff

CVE-2022-42003

Schwachstelle in jackson-databind ermöglicht Denial-of-Service-Angriff

CVE-2022-42890

Schwachstelle in Apache Batik ermöglicht Ausspähen von Informationen

CVE-2022-43551

Schwachstelle in curl ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-45047

Schwachstelle in Apache MINA ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-45685

Schwachstelle in Jettison ermöglicht Denial-of-Service-Angriff

CVE-2022-45693

Schwachstelle in Jettison ermöglicht Denial-of-Service-Angriff

CVE-2022-46908

Schwachstelle in SQLite ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2023-21931 CVE-2023-21979

Schwachstellen in Oracle Fusion Middleware ermöglichen Ausspähen von Informationen

CVE-2023-21956

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Manipulation von Daten

CVE-2023-21960

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Manipulation von Daten

CVE-2023-21964

Schwachstelle in Oracle Fusion Middleware ermöglicht Denial-of-Service-Angriff

CVE-2023-21996

Schwachstelle in Oracle Fusion Middleware ermöglicht Denial-of-Service-Angriff

CVE-2023-22899

Schwachstelle in Oracle Fusion Middleware ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2023-24998

Schwachstelle in Apache Commons FileUpload und Apache Tomcat ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.