Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Oracle Fusion Middleware 2.2.2
Oracle Fusion Middleware 2.3
Oracle Fusion Middleware 2.4
Oracle Fusion Middleware 3.0
Oracle Fusion Middleware 3.0-04
Oracle Fusion Middleware 3.1
Oracle Fusion Middleware 8.1.2
Oracle Fusion Middleware 9.0.11
Oracle Fusion Middleware 10.0.2.0
Oracle Fusion Middleware 10.1.3.5
Oracle Fusion Middleware 10.3.6.0
Oracle Fusion Middleware 11.1.1.5
Oracle Fusion Middleware 11.1.1.7
Oracle Fusion Middleware 11.1.2.1
Oracle Fusion Middleware 11.1.2.2
Oracle Fusion Middleware 11.1.2.4
Oracle Fusion Middleware 12.1.1.0
Oracle Fusion Middleware 12.1.2.0
Oracle Fusion Middleware 12.1.3.0
Betroffene Plattformen:
Apple Mac OS X
GNU/Linux
Microsoft Windows
Oracle Solaris
In der Oracle Fusion Middleware befinden sich mehrere Schwachstellen in
verschiedenen Komponenten. Durch Ausnutzen dieser Schwachstellen kann ein
zumeist entfernter, nicht authentifizierter Angreifer
Denial-of-Service-Angriffe durchführen, beliebigen Programmcode zur
Ausführung bringen, Man-in-the-Middle-Angriffe durchführen,
Sicherheitsvorkehrungen umgehen und Daten ausspähen oder verändern.
Patch:
Oracle Critical Patch Update Advisory – October 2014 (CPUOct2014)
http://www.oracle.com/technetwork/topics/security/cpuoct2014-1972960.html
CVE-2014-6554: Schwachstelle im Oracle Access Manager
Die Komponente Access Manager von Oracle Fusion Middleware enthält eine
nicht näher dokumentierte Schwachstelle, die von einem entfernten, nicht
authentisierten Angreifer zur Manipulation von Daten ausgenutzt werden kann.
CVE-2014-6553: Schwachstelle im Oracle Access Manager
Die Komponente Access Manager von Oracle Fusion Middleware enthält eine
nicht näher dokumentierte Schwachstelle, die von einem entfernten, nicht
authentisierten Angreifer zur Manipulation von Daten ausgenutzt werden kann.
CVE-2014-6552: Schwachstelle im Oracle Access Manager
Die Komponente Access Manager von Oracle Fusion Middleware enthält eine
nicht näher dokumentierte, schwer auszunutzende Schwachstelle, die von einem
entfernten, nicht authentisierten Angreifer zur Manipulation von Daten
genutzt werden kann.
CVE-2014-6534: Schwachstelle im Oracle WebLogic Server
In der WLS Console Subkomponente der WebLogic Server Komponente der Oracle
Fusion Middleware befindet sich eine nicht näher beschriebene Schwachstelle.
Ein entfernter, am Server angemeldeter Benutzer kann die Schwachstelle dazu
ausnutzen, der WebLogic Komponente zugängliche Daten einzusehen,
hinzuzufügen, zu ändern oder zu löschen.
CVE-2014-6522: Schwachstelle in der JDeveloper-Komponente der Oracle Fusion
Middleware
In der ADF Faces Subkomponente der JDeveloper-Komponente der Oracle Fusion
Middleware befindet sich eine nicht näher beschriebene Schwachstelle. Ein
entfernter, nicht authentifizierter Angreifer kann über das HTTP-Protokoll
Daten der JDeveloper-Komponente einsehen oder verändern.
CVE-2014-6499: Schwachstelle im Oracle WebLogic Server
In der Tuxedo Connector Subkomponete der WebLogic Server Komponente der
Oracle Fusion Middleware befindet sich eine nicht näher beschriebene
Schwachstelle. Ein entfernter, nicht authentifizierter Angreifer kann über
das HTTP-Protokoll beliebige, dem WebLogic Server zugängliche Daten
einsehen, hinzufügen, ändern oder löschen sowie einen
Denial-of-Service-Angriff gegen den WebLogic Server ausführen.
CVE-2014-6487: Schwachstelle in Oracle Identity Manager
Die Komponente Identity Manager von Oracle Fusion Middleware enthält eine
nicht näher beschriebene Schwachstelle. Die Schwachstelle kann durch einen
entfernten, nicht authentisierten Angreifer dazu ausgenutzt werden, um Daten
zu verändern oder zu löschen.
CVE-2014-6462: Schwachstelle in Oracle Fusion Middleware ermöglicht die
Manipulation von Daten
Im Access Manager von Oracle Fusion Middleware wurde eine Schwachstelle
gefunden, die es einem entfernten, nicht authentisierten Angreifer
ermöglicht, Daten einzufügen, zu verändern und zu löschen.
CVE-2014-2880: Schwachstelle im Oracle Identity Manager
In der User Management Subkomponete der Identity Manager Komponente der
Oracle Fusion Middleware befindet sich eine nicht näher beschriebene
Schwachstelle. Ein entfernter, nicht authentifizierter Angreifer kann die
Schwachstelle über das HTTP-Protokoll ausnutzen, um Daten des Identity
Managers auszulesen oder zu verändern.
CVE-2014-0224: Schwachstelle in OpenSSL erlaubt Umgehen von
Sicherheitsvorkehrungen
Eine Schwachstelle in OpenSSL besteht in einer fehlerhaften Behandlung
bestimmter Handshakes. Ein entfernter, nicht authentisierter Angreifer kann
diese Schwachstelle ausnutzen, um einen Man-in-the-middle-Angriff
durchzuführen und möglicherweise verschlüsselten Netzwerkverkehr
entschlüsseln und verändern.
CVE-2014-0119: Schwachstelle in Apache Tomcat erlaubt Ausspähen von
Information
Eine Schwachstelle in Apache Tomcat besteht darin, dass eine schädliche
Webapplikation unter bestimmten Umständen den XML-Parser, welcher von Tomcat
verwendet wird, um XSLT (“Extensible Stylesheet Language Transformations”) –
für das Default Servlet, JSP-Dokumente, “Tag Library Descriptors” (TLDs) und
“Tag Plugin”-Konfigurationsdateien – zu verarbeiten, gegen einen anderen
Parser austauschen kann. Ein entfernter, nicht authentisierte Angreifer
kann, mittels eines eingeschleusten XML-Parsers, die beabsichtigten
Beschränkungen für XML External Entites umgehen (wodurch weitere Angriffe
möglich werden) und/oder XML-Dateien lesen, die durch andere
Webapplikationen auf derselben Tomcat-Instanz verarbeitet werden.
CVE-2014-0114: Schwachstelle in Apache Struts
Das “ActionForm” Objekt in Apache Struts 1.x bis 1.3.10 ist fehlerhaft. Ein
entfernter, nicht authentifizierter Angreifer kann beliebigen Code zu
Ausführung bringen, indem er den “Classloader” manipuliert und den Code
durch die “Class-Parameter” der “getClass” Methode einschleust.
CVE-2014-0050: Schwachstelle in Apache Commons FileUpload ermöglicht DoS
Apache Commons FileUpload verarbeitet bestimmte MultipartStreams nicht
fehlerfrei, falls der verwendete Puffer zu klein ist. Dies ermöglicht einem
entfernten, nicht authentifizierten Angreifer durch das Senden eines
präparierten MultipartStreams, dessen Puffergröße nicht ausreichend ist, den
Webserver in eine Endlosschleife zu versetzen und somit einen
Denial-of-Service-Zustand auszulösen.
CVE-2013-1741: Integer-Überlauf in den Network Security Services (NSS)
Die Mozilla Network Security Services (NSS) enthalten einen
Integer-Überlauf. Ein entfernter, nicht authentifizierter Angreifer kann
diese Schwachstelle ausnutzen, um den Dienst zum Absturz oder beliebigen
Programmcode zur Ausführung zu bringen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1364/
Schwachstelle CVE-2013-1741 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-1741
Schwachstelle CVE-2014-0050 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0050
Schwachstelle CVE-2014-2880 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2880
Schwachstelle CVE-2014-0114 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0114
Schwachstelle CVE-2014-0119 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0119
Schwachstelle CVE-2014-0224 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0224
Oracle Critical Patch Update Advisory – October 2014 (CPUOct2014):
http://www.oracle.com/technetwork/topics/security/cpuoct2014-1972960.html
Schwachstelle CVE-2014-6462 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6462
Schwachstelle CVE-2014-6487 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6487
Schwachstelle CVE-2014-6499 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6499
Schwachstelle CVE-2014-6522 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6522
Schwachstelle CVE-2014-6534 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6534
Schwachstelle CVE-2014-6552 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6552
Schwachstelle CVE-2014-6553 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6553
Schwachstelle CVE-2014-6554 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6554
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
