2023-2545: Oracle Fusion Middleware: Mehrere Schwachstellen ermöglichen u. a. die komplette Kompromittierung der betroffenen Software

Historie:

Version 1 (2023-10-18 16:42)

Neues Advisory

Betroffene Software

Entwicklung
Middleware
Netzwerk
Server
Sicherheit
Systemsoftware

Betroffene Plattformen

Linux
Microsoft
Oracle
UNIX

Beschreibung:

In der Oracle Fusion Middleware existieren mehrere Schwachstellen in einer Vielzahl von Komponenten. Hervorzuheben sind Schwachstellen in den Komponenten Oracle Enterprise Data Quality, Oracle WebCenter Portal und Oracle WebLogic Server, die einem Angreifer die vollständige Kompromittierung der betroffenen Software aus der Ferne ohne vorherige Authentifizierung ermöglichen.

Darüber hinaus kann ein Angreifer mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, beliebigen Programmcode auszuführen und einen HTTP-Response-Splitting-Angriff sowie Denial-of-Service (DoS)-Angriffe durchzuführen. Mehrere weitere Schwachstellen kann ein Angreifer lokal ausnutzen, um Sicherheitsvorkehrungen zu umgehen, auf unsicher erzeugte temporäre Dateien zuzugreifen, einen Server-Side-Request-Forgery (SSRF)-Angriff durchzuführen und Denial-of-Service (DoS)-Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers.

Durch die Behebung der Schwachstellen CVE-2021-36374, CVE-2021-37714, CVE-2022-23491, CVE-2022-42004, CVE-2022-44729, CVE-2023-2650 und CVE-2023-28484 werden zusätzlich die hier nicht extra referenzierten Schwachstellen CVE-2021-36373, CVE-2022-36033, CVE-2019-20907, CVE-2019-20916, CVE-2022-42003, CVE-2022-44730, CVE-2023-0464, CVE-2023-0465, CVE-2023-0466, CVE-2023-1255 und CVE-2023-29469 adressiert.

Oracle veröffentlicht mit dem Patchtag im Oktober 2023 Sicherheitsupdates für die betroffenen Komponenten.

Schwachstellen:

CVE-2019-10086

Schwachstelle in Apache Commons BeanUtils ermöglicht Ausführung beliebigen Programmcodes

CVE-2020-13956

Schwachstelle in Apache HttpComponents HttpClient ermöglicht u. a. Manipulation von Daten

CVE-2021-28165

Schwachstelle in Jetty ermöglicht Denial-of-Service-Angriff

CVE-2021-36374

Schwachstelle in Apache Ant, Oracle Fusion Middleware ermöglicht Denial-of-Service-Angriff

CVE-2021-37136

Schwachstelle in Netty ermöglicht Denial-of-Service-Angriff

CVE-2021-37714

Schwachstelle in jsoup ermöglicht Denial-of-Service-Angriff

CVE-2022-23491

Schwachstelle im Paket ca-certificates ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-24839

Schwachstelle in Oracle Fusion Middleware ermöglicht Denial-of-Service-Angriff

CVE-2022-29546

Schwachstelle in Oracle Fusion Middleware ermöglicht Denial-of-Service-Angriff

CVE-2022-29599

Schwachstelle in maven-shared-utils ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-37436

Schwachstelle in Apache httpd ermöglicht HTTP-Response-Splitting-Angriff

CVE-2022-42004

Schwachstelle in jackson-databind ermöglicht Denial-of-Service-Angriff

CVE-2022-42920

Schwachstelle in BCEL ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-44729

Schwachstelle in Apache Batik ermöglicht Server-Side-Request-Forgery-Angriff

CVE-2022-45688

Schwachstelle in Oracle Fusion Middleware und Oracle PeopleSoft ermöglicht Denial-of-Service-Angriff

CVE-2022-45690

Schwachstelle in Oracle Fusion Middleware ermöglicht Denial-of-Service-Angriff

CVE-2023-1436

Schwachstelle in Jettison ermöglicht Denial-of-Service-Angriff

CVE-2023-20863

Schwachstelle in Oracle Fusion Middleware ermöglicht Denial-of-Service-Angriff

CVE-2023-22019

Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von Informationen

CVE-2023-22069 CVE-2023-22072 CVE-2023-22089

Schwachstellen in Oracle Fusion Middleware ermöglichen komplette Kompromittierung der Software

CVE-2023-22086 CVE-2023-22108

Schwachstellen in Oracle Fusion Middleware ermöglichen Ausspähen von Informationen

CVE-2023-22101

Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der Software

CVE-2023-22126

Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von Informationen

CVE-2023-22127

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Denial-of-Service-Angriff

CVE-2023-24998

Schwachstelle in Apache Commons FileUpload und Apache Tomcat ermöglicht Denial-of-Service-Angriff

CVE-2023-2650

Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

CVE-2023-28484

Schwachstelle in LibXML2 ermöglicht Denial-of-Service-Angriff

CVE-2023-28708

Schwachstelle in Apache Tomcat ermöglicht Ausspähen von Informationen

CVE-2023-2976

Schwachstelle in Google Guava ermöglicht Zugriff auf unsicher erzeugte temporäre Dateien

CVE-2023-34462

Schwachstelle in Netty ermöglicht Denial-of-Service-Angriff

CVE-2023-35116

Schwachstelle in Oracle Database Server und Oracle Fusion Middleware ermöglicht Denial-of-Service-Angriff

CVE-2023-35887

Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von Informationen

CVE-2023-39022

Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der Software

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.