2024-1865: Oracle Fusion Middleware: Mehrere Schwachstellen ermöglichen u. a. die komplette Kompromittierung der betroffenen Software

Historie:

Version 1 (2024-07-17 13:43)

Neues Advisory

Betroffene Software

Entwicklung
Middleware
Netzwerk
Office
Server
Sicherheit
Systemsoftware

Betroffene Plattformen

Linux
Microsoft
Oracle
UNIX

Beschreibung:

In der Oracle Fusion Middleware existieren mehrere Schwachstellen in einer Vielzahl von Komponenten. Hervorzuheben sind Schwachstellen in den Komponenten Oracle HTTP Server, Oracle Outside In Technology, Oracle WebCenter Portal, Oracle WebCenter Sites und Oracle WebLogic Server, die einem Angreifer die vollständige Kompromittierung der betroffenen Software aus der Ferne ohne vorherige Authentifizierung ermöglichen.

Darüber hinaus kann ein Angreifer mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auch mit den Rechten des betroffenen Dienstes auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Mehrere weitere Schwachstellen kann ein Angreifer lokal ausnutzen, um Dateien zu manipulieren, auf unsicher erzeugte temporäre Dateien zuzugreifen und einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung zweier Schwachstellen kann Einfluss auf andere Komponenten haben.

Durch die Behebung der Schwachstellen CVE-2020-1945, CVE-2023-2976, CVE-2023-36478, CVE-2023-52425, CVE-2023-6129, CVE-2024-22243, CVE-2024-22259, CVE-2024-25062, CVE-2024-26308 und CVE-2024-29857 werden zusätzlich die hier nicht extra referenzierten Schwachstellen CVE-2021-36373, CVE-2021-36374, CVE-2023-35116, CVE-2023-36479, CVE-2023-40167, CVE-2023-41900, CVE-2023-52426, CVE-2024-28757, CVE-2023-5678, CVE-2024-0727, CVE-2022-22950, CVE-2022-22965, CVE-2022-22968, CVE-2022-22970, CVE-2023-20861, CVE-2024-22259, CVE-2024-22262, CVE-2024-22243, CVE-2024-22262, CVE-2024-34459, CVE-2024-25710, CVE-2024-30171, CVE-2024-30172 und CVE-2024-34447 adressiert.

Oracle veröffentlicht mit dem Patchtag im Juli 2024 Sicherheitsupdates für die betroffenen Komponenten.

Schwachstellen:

CVE-2020-13956

Schwachstelle in Apache HttpComponents HttpClient ermöglicht u. a. Manipulation von Daten

CVE-2020-1945

Schwachstelle in Apache Ant ermöglicht u. a. Manipulation von Dateien

CVE-2021-29425

Schwachstelle in Apache Commons IO ermöglicht Path-Traversal-Angriff

CVE-2021-37533

Schwachstelle in Commons Net ermöglicht Ausspähen von Informationen

CVE-2022-40152

Schwachstelle in Woodstox ermöglicht Denial-of-Service-Angriff

CVE-2022-45378

Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der Software

CVE-2023-24998

Schwachstelle in Apache Commons FileUpload und Apache Tomcat ermöglicht Denial-of-Service-Angriff

CVE-2023-29081

Schwachstelle in Oracle Fusion Middleware ermöglicht Denial-of-Service-Angriff

CVE-2023-2976

Schwachstelle in Google Guava ermöglicht Zugriff auf unsicher erzeugte temporäre Dateien

CVE-2023-34034

Schwachstelle in Oracle MySQL ermöglicht komplette Kompromittierung der Software

CVE-2023-36478

Schwachstelle in Jenkins und Jetty ermöglicht Denial-of-Service-Angriff

CVE-2023-45853

Schwachstelle in GNU zlib ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-46750

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Manipulation von Daten

CVE-2023-4759

Schwachstelle in JGit ermöglicht Ausführen beliebigen Programmcodes mit den Rechten des Dienstes

CVE-2023-48795

Schwachstelle in SSH 'Binary Packet Protocol' (BPP) Implementierung ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2023-5072

Schwachstelle in JSON-Java ermöglicht Denial-of-Service-Angriff

CVE-2023-52425

Schwachstelle in Expat (libexpat) ermöglicht Denial-of-Service-Angriff

CVE-2023-6129

Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

CVE-2024-0853

Schwachstelle in curl ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2024-21133

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Manipulation von Daten

CVE-2024-21175

Schwachstelle in Oracle Fusion Middleware ermöglicht Manipulation von Daten

CVE-2024-21181

Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der Software

CVE-2024-21182

Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von Informationen

CVE-2024-21183

Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von Informationen

CVE-2024-22201

Schwachstelle in Jetty ermöglicht Denial-of-Service-Angriff

CVE-2024-22243

Schwachstelle in Spring Framework ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2024-22259

Schwachstelle in Spring Framework ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2024-22262

Schwachstelle in Spring Framework ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2024-25062

Schwachstelle in LibXML2 ermöglicht Denial-of-Service-Angriff

CVE-2024-26308

Schwachstelle in Apache Commons Compress ermöglicht Denial-of-Service-Angriff

CVE-2024-29025

Schwachstelle in Netty ermöglicht Denial-of-Service-Angriff

CVE-2024-29857

Schwachstelle in Bouncy Castle ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.