DFN-CERT

Advisory-Archiv

2024-1025: Oracle PeopleSoft Produkte: Mehrere Schwachstellen ermöglichen u. a. die komplette Kompromittierung der Software

Historie:

Version 1 (2024-04-17 16:26)
Neues Advisory

Betroffene Software

Entwicklung
Middleware
Office

Betroffene Plattformen

Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um die betroffene Software vollständig zu kompromittieren, Dateien zu manipulieren, Informationen auszuspähen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Zudem kann ein Angreifer mehrere weitere Schwachstellen lokal ausnutzen, um ebenfalls die betroffene Software vollständig zu kompromittieren, Dateien zu manipulieren, Informationen auszuspähen und einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung der Schwachstelle CVE-2024-21065 kann Einfluss auf andere Komponenten haben.

Oracle veröffentlicht am Patchtag im April 2024 Sicherheitsupdates zur Behebung der Schwachstellen in den Oracle PeopleSoft Produkten PeopleSoft Enterprise HCM Human Resources 9.2, PeopleSoft Enterprise CRM Client Management 9.2 sowie PeopleSoft Enterprise PeopleTools 8.59, 8.60 und 8.61.

Mit der Behebung der Schwachstelle CVE-2022-24613 werden außerdem die Schwachstelle CVE-2022-24614, mit Behebung der Schwachstelle CVE-2023-38545 die Schwachstellen CVE-2023-38039, CVE-2023-38546, CVE-2023-46219 und CVE-2024-0853 und mit Behebung der Schwachstelle CVE-2023-4807 die Schwachstellen CVE-2023-0464, CVE-2023-0465, CVE-2023-0466, CVE-2023-1255, CVE-2023-2650, CVE-2023-2975, CVE-2023-3446 und CVE-2023-3817 adressiert.

Schwachstellen:

CVE-2021-37533

Schwachstelle in Commons Net ermöglicht Ausspähen von Informationen

CVE-2022-24613

Schwachstelle in Oracle PeopleSoft ermöglicht Denial-of-Service-Angriff

CVE-2023-38545

Schwachstelle in curl und libcurl ermöglicht u. a. Denial-of-Service-Angriff

CVE-2023-4043

Schwachstelle in Eclipse Parsson ermöglicht Denial-of-Service-Angriff

CVE-2023-44483

Schwachstelle in Apache Santuario - XML Security for Java ermöglicht Ausspähen von Informationen

CVE-2023-4807

Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

CVE-2024-21063

Schwachstelle in Oracle PeopleSoft ermöglicht u. a. Ausspähen von Informationen

CVE-2024-21065

Schwachstelle in Oracle PeopleSoft ermöglicht u. a. Manipulation von Daten

CVE-2024-21070

Schwachstelle in Oracle PeopleSoft ermöglicht u. a. Manipulation von Daten

CVE-2024-21097

Schwachstelle in Oracle PeopleSoft ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.