2024-1000: Oracle Fusion Middleware: Mehrere Schwachstellen ermöglichen u. a. die komplette Kompromittierung der betroffenen Software

Historie:

Version 1 (2024-04-17 14:42)

Neues Advisory

Betroffene Software

Datensicherung
Entwicklung
Middleware
Netzwerk
Office
Server
Sicherheit
Systemsoftware

Betroffene Plattformen

Linux
Microsoft
Oracle
UNIX

Beschreibung:

In der Oracle Fusion Middleware existieren mehrere Schwachstellen in einer Vielzahl von Komponenten. Hervorzuheben sind Schwachstellen in den Komponenten Oracle Enterprise Data Quality, Oracle Fusion Middleware MapViewer, Oracle HTTP Server, Oracle Identity Manager, Oracle Internet Directory, Oracle Middleware Common Libraries and Tools, Oracle SOA Suite, Oracle Web Services Manager und Oracle WebLogic Server, die einem Angreifer die vollständige Kompromittierung der betroffenen Software aus der Ferne ohne vorherige Authentifizierung ermöglichen.

Darüber hinaus kann ein Angreifer mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen, einen HTTP-Request-Smuggling-Angriff und Denial-of-Service (DoS)-Angriffe durchzuführen. Ein Angreifer kann mehrere Schwachstellen lokal ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, auf unsicher erzeugte temporäre Dateien zuzugreifen und einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.

Durch die Behebung der Schwachstellen CVE-2021-23369, CVE-2022-42003, CVE-2023-2976, CVE-2023-33201, CVE-2023-46218, CVE-2023-5072 und CVE-2024-26308 werden zusätzlich die hier nicht extra referenzierten Schwachstellen CVE-2021-23383, CVE-2022-42004, CVE-2020-8908, CVE-2022-23491, CVE-2023-33202, CVE-2023-46219, CVE-2022-45688, CVE-2024-25710 adressiert.

Oracle veröffentlicht mit dem Patchtag im April 2024 Sicherheitsupdates für die betroffenen Komponenten.

Schwachstellen:

CVE-2019-0231

Schwachstelle in Apache MINA ermöglicht Ausspähen von Informationen

CVE-2019-10172

Schwachstelle in jackson-databind ermöglicht Manipulation von Daten

CVE-2019-13990

Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der Software

CVE-2021-23369

Schwachstelle in nodejs-handlebars ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2022-1471

Schwachstelle in SnakeYAML ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-24329

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Manipulation von Daten

CVE-2022-25147

Schwachstelle in Apache Portable Runtime Utility (APR-util) ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-34169

Schwachstelle in Oracle Java SE ermöglicht u. a. Manipulation von Daten

CVE-2022-34381

Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der Software

CVE-2022-42003

Schwachstelle in jackson-databind ermöglicht Denial-of-Service-Angriff

CVE-2022-45378

Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der Software

CVE-2022-46337

Schwachstelle in Apache Derby ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2022-48579

Schwachstelle in UnRAR ermöglicht Manipulation von Dateien

CVE-2023-24021

Schwachstelle in ModSecurity ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2023-2976

Schwachstelle in Google Guava ermöglicht Zugriff auf unsicher erzeugte temporäre Dateien

CVE-2023-31122

Schwachstelle in Apache httpd ermöglicht Denial-of-Service-Angriff

CVE-2023-33201

Schwachstelle in Bouncy Castle ermöglicht Ausspähen von Informationen

CVE-2023-35116

Schwachstelle in Oracle Database Server und Oracle Fusion Middleware ermöglicht Denial-of-Service-Angriff

CVE-2023-35887

Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von Informationen

CVE-2023-3635

Schwachstelle in Red Hat AMQ Streams ermöglicht Denial-of-Service-Angriff

CVE-2023-37536

Schwachstelle in Apache Software Foundation Xerces-C ermöglicht u. a. Denial-of-Service-Angriff

CVE-2023-44487

Schwachstelle in IETF HTTP/2-Implementierung ermöglicht Denial-of-Service-Angriff

CVE-2023-46218

Schwachstelle in curl ermöglicht Ausspähen von Informationen

CVE-2023-46589

Schwachstelle in Apache Tomcat ermöglicht HTTP-Request-Smuggling-Angriff

CVE-2023-48795

Schwachstelle in SSH 'Binary Packet Protocol' (BPP) Implementierung ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2023-5072

Schwachstelle in JSON-Java ermöglicht Denial-of-Service-Angriff

CVE-2023-52428

Schwachstelle in Oracle Fusion Middleware, Oracle Database Server und Oracle PeopleSoft ermöglicht Denial-of-Service-Angriff

CVE-2024-1597

Schwachstelle in PostgreSQL JDBC ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-20991

Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von Informationen

CVE-2024-20992

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Manipulation von Daten

CVE-2024-21006 CVE-2024-21007

Schwachstellen in Oracle Fusion Middleware ermöglichen Ausspähen von Informationen

CVE-2024-21117 CVE-2024-21118 CVE-2024-21119 CVE-2024-21120

Schwachstellen in Oracle Fusion Middleware ermöglichen u. a. Denial-of-Service-Angriffe

CVE-2024-23635

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Manipulation von Daten

CVE-2024-26308

Schwachstelle in Apache Commons Compress ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.