2023-2541: Oracle Datenbank-Produkte: Mehrere Schwachstellen ermöglichen u. a. das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2023-10-18 13:00)

Neues Advisory

Betroffene Software

Server

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren und einen Denial-of-Service (DoS)-Angriff durchzuführen. Zudem kann ein Angreifer eine Schwachstelle im benachbarten Netzwerk ausnutzen, um Informationen auszuspähen. Mehrere weitere Schwachstellen kann ein Angreifer lokal ausnutzen, um Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting (XSS)-Angriff durchzuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung einer Schwachstelle kann Einfluss auf andere Komponenten haben.

Oracle veröffentlicht anlässlich des Patchtags im Oktober 2023 Sicherheitsupdates für die unterstützten Oracle Database Server Versionen 19.3 bis 19.20 und 21.3 bis 21.11 zur Behebung der Schwachstellen. Durch die Behebung der Schwachstelle CVE-2022-23491 werden auch die Schwachstellen CVE-2022-40896, CVE-2022-40897 und CVE-2023-38325 adressiert und die Behebung der Schwachstelle CVE-2023-38039 adressiert zusätzlich die Schwachstellen CVE-2023-28320, CVE-2023-28321 und CVE-2023-28322.

Zudem gibt Oracle an, dass mittels der verfügbaren Updates auch Schwachstellen in Drittanbieter-Komponenten adressiert werden, die in diesen Oracle-Produkten nicht ausnutzbar sind.

Schwachstellen:

CVE-2022-23491

Schwachstelle im Paket ca-certificates ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-44729

Schwachstelle in Apache Batik ermöglicht Server-Side-Request-Forgery-Angriff

CVE-2023-22071

Schwachstelle in Oracle Database Server ermöglicht u. a. Denial-of-Service-Angriff

CVE-2023-22073

Schwachstelle in Oracle Database Server ermöglicht Ausspähen von Informationen

CVE-2023-22074

Schwachstelle in Oracle Database Server ermöglicht Denial-of-Service-Angriff

CVE-2023-22075

Schwachstelle in Oracle Database Server ermöglicht Denial-of-Service-Angriff

CVE-2023-22077

Schwachstelle in Oracle Database Server ermöglicht Denial-of-Service-Angriff

CVE-2023-22096

Schwachstelle in Oracle Database Server ermöglicht Manipulation von Daten

CVE-2023-35116

Schwachstelle in Oracle Database Server und Oracle Fusion Middleware ermöglicht Denial-of-Service-Angriff

CVE-2023-38039

Schwachstelle in curl und libcurl ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.