2024-0133: Oracle Fusion Middleware: Mehrere Schwachstellen ermöglichen u. a. die komplette Kompromittierung der betroffenen Software

Historie:

Version 1 (2024-01-17 12:04)

Neues Advisory

Betroffene Software

Entwicklung
Middleware
Netzwerk
Server
Sicherheit
Systemsoftware

Betroffene Plattformen

Linux
Microsoft
Oracle
UNIX

Beschreibung:

In der Oracle Fusion Middleware existieren mehrere Schwachstellen in einer Vielzahl von Komponenten. Hervorzuheben sind Schwachstellen in den Komponenten Oracle Enterprise Data Quality, Oracle HTTP Server und Oracle SOA Suite, die einem Angreifer die vollständige Kompromittierung der betroffenen Software aus der Ferne ohne vorherige Authentifizierung ermöglichen.

Darüber hinaus kann ein Angreifer mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, beliebigen Programmcode auszuführen und Denial-of-Service (DoS)-Angriffe durchzuführen. Mehrere weitere Schwachstellen kann ein Angreifer lokal ausnutzen, um Informationen auszuspähen, auf unsicher erzeugte temporäre Dateien zuzugreifen, einen Server-Side-Request-Forgery (SSRF)-Angriff durchzuführen und Denial-of-Service (DoS)-Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.

Durch die Behebung der Schwachstellen CVE-2021-36090, CVE-2022-23221, CVE-2023-21949, CVE-2023-3817, CVE-2023-38545, und CVE-2023-44487 werden zusätzlich die hier nicht extra referenzierten Schwachstellen CVE-2021-35515, CVE-2021-35516, CVE-2021-35517, CVE-2021-42392, CVE-2023-2976, CVE-2023-2975, CVE-2023-3446, CVE-2023-5363, CVE-2023-38546, CVE-2023-36478, CVE-2023-40167, CVE-2023-42794, CVE-2023-42795 und CVE-2023-45648 adressiert.

Oracle veröffentlicht mit dem Patchtag im Januar 2024 Sicherheitsupdates für die betroffenen Komponenten.

Schwachstellen:

CVE-2020-5421

Schwachstelle in Oracle MySQL ermöglicht u. a. Manipulation von Daten

CVE-2021-0341

Schwachstelle in Android Runtime ermöglicht Ausspähen von Informationen

CVE-2021-33813

Schwachstelle in JDOM ermöglicht Denial-of-Service-Angriff

CVE-2021-36090

Schwachstelle in Apache Commons Compress ermöglicht Denial-of-Service-Angriff

CVE-2021-37533

Schwachstelle in Commons Net ermöglicht Ausspähen von Informationen

CVE-2022-23221

Schwachstelle in H2 Database ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-44729

Schwachstelle in Apache Batik ermöglicht Server-Side-Request-Forgery-Angriff

CVE-2023-21949

Schwachstelle in Oracle Database Server ermöglicht Manipulation von Daten

CVE-2023-2976

Schwachstelle in Google Guava ermöglicht Zugriff auf unsicher erzeugte temporäre Dateien

CVE-2023-32697

Schwachstelle in SQLite JDBC ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-33201

Schwachstelle in Bouncy Castle ermöglicht Ausspähen von Informationen

CVE-2023-3635

Schwachstelle in Red Hat AMQ Streams ermöglicht Denial-of-Service-Angriff

CVE-2023-3817

Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

CVE-2023-38545

Schwachstelle in curl und libcurl ermöglicht u. a. Denial-of-Service-Angriff

CVE-2023-39410

Schwachstelle in Apache Avro Java SDK ermöglicht Denial-of-Service-Angriff

CVE-2023-42503

Schwachstelle in Oracle Fusion Middleware ermöglicht Denial-of-Service-Angriff

CVE-2023-43643

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Manipulation von Daten

CVE-2023-44483

Schwachstelle in Apache Santuario - XML Security for Java ermöglicht Ausspähen von Informationen

CVE-2023-44487

Schwachstelle in IETF HTTP/2-Implementierung ermöglicht Denial-of-Service-Angriff

CVE-2023-46604

Schwachstelle in Apache ActiveMQ ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-49093

Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der Software

CVE-2023-5072

Schwachstelle in JSON-Java ermöglicht Denial-of-Service-Angriff

CVE-2024-20908

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Manipulation von Daten

CVE-2024-20927

Schwachstelle in Oracle Fusion Middleware ermöglicht Manipulation von Daten

CVE-2024-20928

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Manipulation von Daten

CVE-2024-20930

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Denial-of-Service-Angriff

CVE-2024-20931

Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von Informationen

CVE-2024-20986

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Manipulation von Daten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.