DFN-CERT

Advisory-Archiv

2024-2745: Oracle PeopleSoft Produkte: Mehrere Schwachstellen ermöglichen u. a. die komplette Kompromittierung der Software

Historie:

Version 1 (2024-10-16 15:21)
Neues Advisory

Betroffene Software

Bildung
Entwicklung
Middleware
Office

Betroffene Plattformen

Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um die betroffene Software vollständig zu kompromittieren, Dateien zu manipulieren, Informationen auszuspähen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Zudem kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um Sicherheitsvorkehrungen zu umgehen und Denial-of-Service (DoS)-Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung zweier Schwachstellen kann Einfluss auf andere Komponenten haben.

Oracle veröffentlicht am Patchtag im Oktober 2024 Sicherheitsupdates zur Behebung der Schwachstellen in den Oracle PeopleSoft Produkten PeopleSoft Enterprise HCM Global Payroll Core 9.2.48 bis 9.2.50, PeopleSoft Enterprise CC Common Application Objects 9.2, PeopleSoft Enterprise ELM Enterprise Learning Management 9.2, PeopleSoft Enterprise FIN Expenses 9.2 sowie PeopleSoft Enterprise PeopleTools 8.59, 8.60 und 8.61.

Mit der Behebung der Schwachstellen CVE-2024-0450, CVE-2024-0727 und CVE-2024-26130 werden zusätzlich die Schwachstellen CVE-2023-6597, CVE-2023-4807, CVE-2023-5363, CVE-2023-5678, CVE-2023-6129, CVE-2023-6237 und CVE-2023-49083 adressiert, die aber hier nicht weiter aufgeführt werden.

Mit den verfügbaren Sicherheitsupdates wird eine weitere Schwachstelle in der Komponente 'Porting (Certifi)' behoben (CVE-2023-37920), die im Kontext von Oracle PeopleSoft allerdings nicht ausgenutzt werden kann.

Schwachstellen:

CVE-2023-5752

Schwachstelle in pip ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2024-0232

Schwachstelle in Chromium und SQLite ermöglicht Denial-of-Service-Angriff

CVE-2024-0450

Schwachstelle in CPython ermöglicht Denial-of-Service-Angriff

CVE-2024-0727

Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

CVE-2024-21202

Schwachstelle in Oracle PeopleSoft ermöglicht u. a. Manipulation von Daten

CVE-2024-21214

Schwachstelle in Oracle PeopleSoft ermöglicht u. a. Manipulation von Daten

CVE-2024-21249

Schwachstelle in Oracle PeopleSoft ermöglicht Ausspähen von Informationen

CVE-2024-21255

Schwachstelle in Oracle PeopleSoft ermöglicht komplette Kompromittierung der Software

CVE-2024-21264

Schwachstelle in Oracle PeopleSoft ermöglicht u. a. Manipulation von Daten

CVE-2024-21283

Schwachstelle in Oracle PeopleSoft ermöglicht u. a. Manipulation von Daten

CVE-2024-21286

Schwachstelle in Oracle PeopleSoft ermöglicht u. a. Manipulation von Daten

CVE-2024-26130

Schwachstelle in Python Cryptography ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.