2024-1003: Oracle Datenbank-Produkte: Mehrere Schwachstellen ermöglichen u. a. Denial-of-Service-Angriffe

Historie:

Version 1 (2024-04-17 10:45): Neues Advisory

Betroffene Software

Server

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen und Denial-of-Service (DoS)-Angriffe durchzuführen. Ein Angreifer kann eine Schwachstelle lokal ausnutzen, um Informationen auszuspähen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Zwei Schwachstellen erfordern die Interaktion eines Benutzers.

Oracle veröffentlicht anlässlich des Patchtags im April 2024 Sicherheitsupdates für die unterstützten Oracle Database Server Versionen 19.3 bis 19.22 und 21.3 bis 21.13 zur Behebung der Schwachstellen. Die Sicherheitsupdates sind für 'Client-only'-Installationen nicht anwendbar.

Im Zuge der Behebung der Schwachstellen CVE-2023-36632 und CVE-2023-5072 werden zusätzlich weitere Schwachstellen behoben, die aber hier nicht weiter aufgeführt werden. Außerdem gibt Oracle an, dass mittels der verfügbaren Updates auch Schwachstellen in Drittanbieter-Komponenten adressiert werden, die in diesen Oracle-Produkten nicht ausnutzbar sind.

Schwachstellen:

CVE-2023-36632

Schwachstelle in Python ermöglicht Denial-of-Service-Angriff

CVE-2023-48795

Schwachstelle in SSH 'Binary Packet Protocol' (BPP) Implementierung ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2023-5072

Schwachstelle in JSON-Java ermöglicht Denial-of-Service-Angriff

CVE-2024-20995

Schwachstelle in Oracle Database Server ermöglicht Denial-of-Service-Angriff

CVE-2024-21058

Schwachstelle in Oracle Database Server ermöglicht Manipulation von Daten

CVE-2024-21066

Schwachstelle in Oracle Database Server ermöglicht Ausspähen von Informationen

CVE-2024-21093