2025-0170: Oracle Fusion Middleware: Mehrere Schwachstellen ermöglichen u. a. die komplette Kompromittierung der betroffenen Software

Historie:

Version 1 (2025-01-22 11:53)

Neues Advisory

Betroffene Software

Middleware
Netzwerk
Office
Server
Sicherheit
Systemsoftware

Betroffene Plattformen

Linux
Microsoft
Oracle
UNIX

Beschreibung:

In der Oracle Fusion Middleware existieren mehrere Schwachstellen in einer Vielzahl von Komponenten. Hervorzuheben sind Schwachstellen in den Komponenten Oracle HTTP Server und Oracle WebLogic Server, die einem Angreifer die vollständige Kompromittierung der betroffenen Software aus der Ferne ohne vorherige Authentifizierung ermöglichen.

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Zudem kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um Informationen auszuspähen und einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung zweier Schwachstellen kann Einfluss auf andere Komponenten haben.

Durch die Behebung der Schwachstellen CVE-2024-37371, CVE-2024-29857, CVE-2024-5535, CVE-2024-47561, CVE-2024-38475, CVE-2024-45492 und CVE-2024-38819 werden zusätzlich die hier nicht extra referenzierten Schwachstellen CVE-2024-37370, CVE-2024-30171, CVE-2024-30172, CVE-2024-34447, CVE-2024-6119, CVE-2023-39410, CVE-2023-38709, CVE-2024-38473, CVE-2024-40898, CVE-2024-45490, CVE-2024-45491 und CVE-2024-38816 adressiert.

Oracle veröffentlicht mit dem Patchtag im Januar 2025 Sicherheitsupdates für die betroffenen Komponenten.

Schwachstellen:

CVE-2019-12415

Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von Informationen

CVE-2023-44483

Schwachstelle in Apache Santuario - XML Security for Java ermöglicht Ausspähen von Informationen

CVE-2023-49582

Schwachstelle in Apache Portable Runtime (APR) ermöglicht Ausspähen von Informationen

CVE-2023-51775

Schwachstelle in JOSE4j ermöglicht Denial-of-Service-Angriff

CVE-2023-7272

Schwachstelle in Oracle Fusion Middleware ermöglicht Denial-of-Service-Angriff

CVE-2024-23635

Schwachstelle in Oracle Fusion Middleware ermöglicht u. a. Manipulation von Daten

CVE-2024-29857

Schwachstelle in Bouncy Castle ermöglicht Denial-of-Service-Angriff

CVE-2024-34750

Schwachstelle in Apache Tomcat ermöglicht Denial-of-Service-Angriff

CVE-2024-37371

Schwachstelle in MIT Kerberos 5 ermöglicht u. a. Denial-of-Service-Angriff

CVE-2024-38475

Schwachstelle in Apache httpd ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-38819

Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von Informationen

CVE-2024-45492

Schwachstelle in Expat ermöglicht Denial-of-Service-Angriff

CVE-2024-47072

Schwachstelle in XStream ermöglicht Denial-of-Service-Angriff

CVE-2024-47554

Schwachstelle in Apache Commons IO ermöglicht Denial-of-Service-Angriff

CVE-2024-47561

Schwachstelle in Apache Avro ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-5535

Schwachstelle in OpenSSL ermöglicht u. a. Denial-of-Service-Angriff

CVE-2024-8096

Schwachstelle in curl und libcurl ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2025-21498

Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von Informationen

CVE-2025-21535

Schwachstelle in Oracle Weblogic Server ermöglicht vollständige Kompromittierung der Software

CVE-2025-21549

Schwachstelle in Oracle Fusion Middleware ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.