2024-2743: Oracle Fusion Middleware: Mehrere Schwachstellen ermöglichen u. a. die komplette Kompromittierung der betroffenen Software

Historie:

Version 1 (2024-10-16 16:01)

Neues Advisory

Betroffene Software

Entwicklung
Middleware
Netzwerk
Office
Server
Sicherheit
Systemsoftware

Betroffene Plattformen

Linux
Microsoft
Oracle
UNIX

Beschreibung:

In der Oracle Fusion Middleware existieren mehrere Schwachstellen in einer Vielzahl von Komponenten. Hervorzuheben sind Schwachstellen in den Komponenten Oracle Outside In Technology und Oracle WebLogic Server, die einem Angreifer die vollständige Kompromittierung der betroffenen Software aus der Ferne ohne vorherige Authentifizierung ermöglichen.

Darüber hinaus kann ein Angreifer mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen, beliebigen Programmcode mit den Rechten des betroffenen Dienstes auszuführen, einen Cross-Site-Scripting (XSS)-Angriff durchzuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Mehrere weitere Schwachstellen kann ein Angreifer lokal ausnutzen, um Informationen auszuspähen und einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung zweier Schwachstellen kann Einfluss auf andere Komponenten haben.

Durch die Behebung der Schwachstellen CVE-2020-11023, CVE-2024-24549, CVE-2024-2511, CVE-2024-29131, CVE-2024-36052, CVE-2024-38999 und CVE-2024-45492 werden zusätzlich die hier nicht extra referenzierten Schwachstellen CVE-2020-11022, CVE-2024-23672, CVE-2024-4603, CVE-2024-4741, CVE-2024-29133, CVE-2024-33899, CVE-2024-38998, CVE-2024-45490 und CVE-2024-45491 adressiert.

Oracle veröffentlicht mit dem Patchtag im Oktober 2024 Sicherheitsupdates für die betroffenen Komponenten.

Schwachstellen:

CVE-2020-11023

Schwachstelle in jQuery ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-17521

Schwachstelle in Apache Groovy ermöglicht Ausspähen von Informationen

CVE-2023-35116

Schwachstelle in Oracle Database Server und Oracle Fusion Middleware ermöglicht Denial-of-Service-Angriff

CVE-2023-39743

Schwachstelle in Oracle Fusion Middleware ermöglicht Denial-of-Service-Angriff

CVE-2023-4759

Schwachstelle in JGit ermöglicht Ausführen beliebigen Programmcodes mit den Rechten des Dienstes

CVE-2023-51775

Schwachstelle in JOSE4j ermöglicht Denial-of-Service-Angriff

CVE-2024-21190

Schwachstelle in Oracle Fusion Middleware ermöglicht Manipulation von Daten

CVE-2024-21191

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Ausspähen von Informationen

CVE-2024-21192

Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von Informationen

CVE-2024-21205

Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von Informationen

CVE-2024-21215

Schwachstelle in Oracle Fusion Middleware ermöglicht Denial-of-Service-Angriff

CVE-2024-21216

Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der Software

CVE-2024-21234

Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von Informationen

CVE-2024-21246

Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von Informationen

CVE-2024-21260

Schwachstelle in Oracle Fusion Middleware ermöglicht Denial-of-Service-Angriff

CVE-2024-21274

Schwachstelle in Oracle Fusion Middleware ermöglicht Denial-of-Service-Angriff

CVE-2024-22201

Schwachstelle in Jetty ermöglicht Denial-of-Service-Angriff

CVE-2024-22262

Schwachstelle in Spring Framework ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2024-23807

Schwachstelle in Xerces-C Ausführen beliebigen Programmcodes

CVE-2024-24549

Schwachstelle in Apache Tomcat ermöglicht Denial-of-Service-Angriff

CVE-2024-2511

Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

CVE-2024-25269

Schwachstelle in Oracle Fusion Middleware ermöglicht Denial-of-Service-Angriff

CVE-2024-28182

Schwachstelle in nghttp2 ermöglicht Denial-of-Service-Angriff

CVE-2024-28752

Schwachstelle in Red Hat JBoss Enterprise Application Platform ermöglicht Server-Side-Request-Forgery

CVE-2024-29131

Schwachstelle in Apache Commons Configuration ermöglicht u. a. Denial-of-Service-Angriff

CVE-2024-36052

Schwachstelle in Oracle Fusion Middleware ermöglicht Manipulation von Daten

CVE-2024-38999

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Ausspähen von Informationen

CVE-2024-45492

Schwachstelle in Expat ermöglicht Denial-of-Service-Angriff

CVE-2024-6345

Schwachstelle in Python Setuptools ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.