2023-0895: Oracle JD Edwards: Mehrere Schwachstellen ermöglichen u. a. die komplette Kompromittierung der Software

Historie:

Version 1 (2023-04-19 13:05)

Neues Advisory

Betroffene Software

Middleware
Sicherheit

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um die Software vollständig zu kompromittieren, Dateien zu manipulieren, Informationen auszuspähen und verschiedene Denial-of-Service (DoS)-Angriffe durchzuführen. Zudem kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um Informationen auszuspähen und einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung einer Schwachstelle kann Einfluss auf andere Komponenten haben.

Oracle veröffentlicht im Zuge des Patchtages im April 2023 JD Edwards EnterpriseOne Tools und JD Edwards EnterpriseOne Orchestrator jeweils in Version 9.2.7.3 und stellt für JD Edwards World Security A9.4 Sicherheitsupdates bereit, um die Schwachstellen zu beheben.

Mit Behebung der Schwachstellen CVE-2021-36373, CVE-2022-21824, CVE-2022-2274, CVE-2022-25857, CVE-2022-28738 und CVE-2022-42003 werden zusätzliche Schwachstellen behoben, die aber hier nicht weiter aufgeführt werden.

Schwachstellen:

CVE-2018-1311

Schwachstelle in Xerces-C ermöglicht Ausführung beliebigen Programmcodes

CVE-2020-15250

Schwachstelle in JUnit 4 ermöglicht Ausspähen von Informationen

CVE-2020-8908

Schwachstelle in Google Guava ermöglicht Ausspähen von Informationen

CVE-2021-30129

Schwachstelle in Apache Mina SSHD Server ermöglicht Denial-of-Service-Angriff

CVE-2021-36373

Schwachstelle in Apache Ant ermöglicht Denial-of-Service-Angriff

CVE-2021-41973

Schwachstelle in Apache MINA ermöglicht Denial-of-Service-Angriff

CVE-2022-21824

Schwachstelle in Node.js ermöglicht u. a. Manipulation von Dateien

CVE-2022-2274

Schwachstelle in OpenSSL ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-25857

Schwachstelle in SnakeYAML ermöglicht Denial-of-Service-Angriff

CVE-2022-28738

Schwachstelle in Ruby ermöglicht u. a. Privilegieneskalation

CVE-2022-42003

Schwachstelle in jackson-databind ermöglicht Denial-of-Service-Angriff

CVE-2023-21927

Schwachstelle in Oracle JD Edwards ermöglicht Ausspähen von Informationen

CVE-2023-21936

Schwachstelle in Oracle JD Edwards ermöglicht u. a. Manipulation von Daten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.