2023-2537: Oracle REST Data Services: Eine Schwachstelle ermöglicht das Ausspähen von Informationen

Historie:

Version 1 (2023-10-18 12:15)

Neues Advisory

Betroffene Software

Middleware
Server

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein Angreifer kann eine Schwachstelle in Oracle REST Data Services vor Version 23.2.2 in der Komponenten ORDS (Eclipse Jetty) einfach aus der Ferne mittels Netzwerkzugriff über HTTP ausnutzen, um Informationen auszuspähen.

Für die Ausnutzung der Schwachstelle sind keine Privilegien erforderlich.

Oracle veröffentlicht im Zuge des Oktober 2023 Patchtags die Version 23.2.2, um die aufgeführte Schwachstelle zu beheben. Dieser Patch inkludiert die Adressierung der Schwachstelle CVE-2023-26048. Zusätzlich wird auch die Schwachstelle CVE-2023-2976 in der Komponente ORDS (Google Guava) behoben, die im Kontext dieses Produktes allerdings nicht ausgenutzt werden kann und darum hier nicht näher erläutert wird.

Schwachstellen:

CVE-2023-26049

Schwachstelle in Jetty ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.