2023-1648: Oracle Fusion Middleware: Mehrere Schwachstellen ermöglichen u. a. die komplette Kompromittierung der betroffenen Software

Historie:

Version 1 (2023-07-19 14:27)

Neues Advisory

Betroffene Software

Entwicklung
Middleware
Netzwerk
Office
Server
Sicherheit
Systemsoftware

Betroffene Plattformen

Linux
Microsoft
Oracle
UNIX

Beschreibung:

In der Oracle Fusion Middleware existieren mehrere Schwachstellen in einer Vielzahl von Komponenten. Hervorzuheben sind Schwachstellen in den Komponenten Oracle BAM (Business Activity Monitoring), Oracle Enterprise Data Quality, Oracle HTTP Server, Oracle JDeveloper, Oracle Middleware Common Libraries and Tools, Oracle WebCenter Content, Oracle WebLogic Server, Oracle Enterprise Data Quality und Oracle Service Bus, die einem Angreifer die vollständige Kompromittierung der betroffenen Software aus der Ferne überwiegend ohne vorherige Authentifizierung ermöglichen.

Darüber hinaus kann ein Angreifer mehrere Schwachstellen aus der Ferne ausnutzen, um Administratorrechte zu erlangen, Dateien zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting (XSS)-Angriff durchzuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Zudem kann ein Angreifer eine Schwachstelle im benachbarten Netzwerk ausnutzen, um Informationen auszuspähen. Ein Angreifer kann mehrere weitere Schwachstellen lokal ausnutzen, um Informationen auszuspähen, auf unsicher erzeugte temporäre Dateien zuzugreifen und einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung zweier Schwachstellen kann Einfluss auf andere Komponenten haben.

Durch die Behebung der Schwachstellen CVE-2021-26117, CVE-2021-36090, CVE-2021-36374, CVE-2022-24409, CVE-2022-41966, CVE-2022-42890, CVE-2023-20860, CVE-2023-20861, CVE-2023-23914 und CVE-2023-26049 werden zusätzlich die hier nicht extra referenzierten Schwachstellen CVE-2020-11998, CVE-2020-13947, CVE-2021-35515, CVE-2021-35516, CVE-2021-35517, CVE-2021-36373, CVE-2022-34364, CVE-2022-40151, CVE-2022-41704, CVE-2023-20861, CVE-2023-20860, CVE-2023-23915, CVE-2023-23916 und CVE-2023-26048 adressiert.

Oracle veröffentlicht mit dem Patchtag im Juli 2023 Sicherheitsupdates für die betroffenen Komponenten.

Schwachstellen:

CVE-2020-13936

Schwachstelle in Apache Velocity Engine ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-13956

Schwachstelle in Apache HttpComponents HttpClient ermöglicht u. a. Manipulation von Daten

CVE-2020-17521

Schwachstelle in Apache Groovy ermöglicht Ausspähen von Informationen

CVE-2020-36518

Schwachstelle in jackson-databind ermöglicht Denial-of-Service-Angriff

CVE-2020-8908

Schwachstelle in Google Guava ermöglicht Ausspähen von Informationen

CVE-2021-23926

Schwachstelle in XMLBeans ermöglicht XML-External-Entity-Angriff

CVE-2021-26117

Schwachstelle in Apache ActiveMQ und Apache ActiveMQ Artemis ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-28168

Schwachstelle in Eclipse Jersey ermöglicht Ausspähen von Informationen

CVE-2021-29425

Schwachstelle in Apache Commons IO ermöglicht Path-Traversal-Angriff

CVE-2021-33813

Schwachstelle in JDOM ermöglicht Denial-of-Service-Angriff

CVE-2021-34429

Schwachstelle in Jetty ermöglicht u. a. Ausspähen von Informationen

CVE-2021-36090

Schwachstelle in Apache Commons Compress ermöglicht Denial-of-Service-Angriff

CVE-2021-36374

Schwachstelle in Apache Ant, Oracle Fusion Middleware ermöglicht Denial-of-Service-Angriff

CVE-2021-37533

Schwachstelle in Commons Net ermöglicht Ausspähen von Informationen

CVE-2021-4104

Schwachstelle in Apache Log4j ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-41184

Schwachstelle in jQuery-UI ermöglicht Cross-Site-Scripting-Angriff

CVE-2021-41973

Schwachstelle in Apache MINA ermöglicht Denial-of-Service-Angriff

CVE-2021-42575

Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der Software

CVE-2021-43113

Schwachstelle in iText ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-46877

Schwachstelle in jackson-databind ermöglicht Denial-of-Service-Angriff

CVE-2022-23437

Schwachstelle in Xerces2 Java XML Parser ermöglicht Denial-of-Service-Angriff

CVE-2022-24409

Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der Software

CVE-2022-25647

Schwachstelle in Gson ermöglicht Denial-of-Service-Angriff

CVE-2022-29546

Schwachstelle in Oracle Fusion Middleware ermöglicht Denial-of-Service-Angriff

CVE-2022-31197

Schwachstelle in PostgreSQL JDBC ermöglicht SQL-Injection-Angriff

CVE-2022-33879

Schwachstelle in Apache Tika ermöglicht Denial-of-Service-Angriff

CVE-2022-36033

Schwachstelle in jsoup ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-38751

Schwachstelle in SnakeYAML ermöglicht Denial-of-Service-Angriff

CVE-2022-40152

Schwachstelle in Woodstox ermöglicht Denial-of-Service-Angriff

CVE-2022-41853

Schwachstelle in HSQLDB ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-41966

Schwachstelle in XStream ermöglicht Denial-of-Service-Angriff

CVE-2022-42890

Schwachstelle in Apache Batik ermöglicht Ausspähen von Informationen

CVE-2022-42920

Schwachstelle in BCEL ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-43680

Schwachstelle in Expat ermöglicht Denial-of-Service-Angriff

CVE-2022-45047

Schwachstelle in Apache MINA ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-45688

Schwachstelle in Oracle Fusion Middleware und Oracle PeopleSoft ermöglicht Denial-of-Service-Angriff

CVE-2023-1370

Schwachstelle in Json-smart ermöglicht Denial-of-Service-Angriff

CVE-2023-1436

Schwachstelle in Jettison ermöglicht Denial-of-Service-Angriff

CVE-2023-20860

Schwachstelle in Spring Framework ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2023-20861

Schwachstelle in Spring Framework ermöglicht Denial-of-Service-Angriff

CVE-2023-20863

Schwachstelle in Oracle Fusion Middleware ermöglicht Denial-of-Service-Angriff

CVE-2023-21994

Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von Informationen

CVE-2023-22031

Schwachstelle in Oracle Fusion Middleware ermöglicht Denial-of-Service-Angriff

CVE-2023-22040

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Denial-of-Service-Angriff

CVE-2023-22899

Schwachstelle in Oracle Fusion Middleware ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2023-23914

Schwachstelle in curl ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2023-24998

Schwachstelle in Apache Commons FileUpload und Apache Tomcat ermöglicht Denial-of-Service-Angriff

CVE-2023-25194

Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der Software

CVE-2023-25690

Schwachstelle in Apache httpd ermöglicht HTTP-Request-Smuggling-Angriff

CVE-2023-26049

Schwachstelle in Jetty ermöglicht Ausspähen von Informationen

CVE-2023-26119

Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der Software

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.