2024-0125: JD Edwards EnterpriseOne Tools: Mehrere Schwachstellen ermöglichen u. a. das Erlangen von Administratorrechten
Historie:
- Version 1 (2024-01-17 12:28)
- Neues Advisory
Betroffene Software
Middleware
Betroffene Plattformen
Apple
Linux
Microsoft
Oracle
UNIX
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, die betroffene Software komplett zu übernehmen und Denial-of-Service (DoS)-Angriffe durchzuführen.
Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich.
Oracle veröffentlicht im Zuge des Patchtags im Januar 2024 JD Edwards EnterpriseOne Tools in Version 9.2.8.1, um die Schwachstellen zu beheben.
Mit Behebung der Schwachstellen CVE-2023-2650, CVE-2023-28756 und CVE-2023-32002 werden zusätzlich die Schwachstellen CVE-2023-28755, CVE-2023-32006, CVE-2023-32559, CVE-2022-3602 und CVE-2022-3786 adressiert, die aber hier nicht weiter aufgeführt werden.
Schwachstellen:
CVE-2022-3479
Schwachstelle in Network Security Services (NSS) ermöglicht Denial-of-Service-AngriffCVE-2022-37434
Schwachstelle in GNU zlib ermöglicht Denial-of-Service-AngriffCVE-2023-1436
Schwachstelle in Jettison ermöglicht Denial-of-Service-AngriffCVE-2023-2650
Schwachstelle in OpenSSL ermöglicht Denial-of-Service-AngriffCVE-2023-28756
Schwachstelle in Ruby ermöglicht Denial-of-Service-AngriffCVE-2023-32002
Schwachstelle in Node.js ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2024-20905
Schwachstelle in JD Edwards EnterpriseOne Tools ermöglicht Denial-of-Service-AngriffCVE-2024-20937
Schwachstelle in JD Edwards EnterpriseOne Tools ermöglicht Ausspähen von InformationenCVE-2024-20957
Schwachstelle in JD Edwards EnterpriseOne Tools ermöglicht Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.