Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Oracle Fusion Middleware 10.3.6.0
Oracle Fusion Middleware 11.1.1.5
Oracle Fusion Middleware 11.1.1.6.1
Oracle Fusion Middleware 11.1.1.7
Oracle Fusion Middleware 11.1.1.8.0
Oracle Fusion Middleware 11.1.2.1.0
Oracle Fusion Middleware 12.1.1.0
Oracle Fusion Middleware 12.1.2.0
Oracle Fusion Middleware 12.1.3.0
Oracle Glassfish Server 2.1.1
Oracle Glassfish Server 3.0.1
Oracle Glassfish Server 3.1.2
Oracle iPlanet Web Proxy Server 4.0
Oracle iPlanet Web Server 6.1
Oracle iPlanet Web Server 7.0
Oracle OpenSSO 3.0-04
Oracle Outside In Technology 8.4.1
Oracle Outside In Technology 8.5.0
Oracle Outside In Technology 8.5.1
Betroffene Plattformen:
Oracle Exalogic Elastic Cloud 1.x
Oracle Exalogic Elastic Cloud 2.x
Apple Mac OS
GNU/Linux
Microsoft Windows
Oracle Solaris
In der Oracle Fusion Middleware befinden sich mehrere Schwachstellen in
verschiedenen Komponenten. Durch Ausnutzen dieser Schwachstellen kann ein
zumeist entfernter, nicht authentifizierter Angreifer
Denial-of-Service-Angriffe durchführen, beliebigen Programmcode mit den
Rechten des Dienstes zur Ausführung bringen, Sicherheitsvorkehrungen umgehen
und Daten ausspähen oder verändern.
Patch:
Oracle Critical Patch Update April 2015
http://www.oracle.com/technetwork/topics/security/cpuapr2015-2365600.html
CVE-2015-0482: Schwachstelle in Oracle-WebLogic-Server ermöglicht
Denial-of-Service-Angriff
Die Subkomponente WLS-WebServices der Oracle-WebLogic-Server Komponente von
Oracle Fusion Middleware enthält eine Schwachstelle, die es auf nicht näher
bezeichnete Art und Weise ermöglicht, einen teilweisen
Denial-of-Service-Zustand auszulösen und Daten zu verändern. Ein entfernter,
einfach authentisierter Angreifer kann einen Denial-of-Service-Angriff
durchführen sowie Daten verändern.
CVE-2015-0474 CVE-2015-0493: Zwei Schwachstellen in der Oracle
Outside-In-Technology Komponente ermöglichen Denial-of-Service-Angriffe
Die Unterkomponente Outside-In-Filters der Oracle-Outside-In-Technology
Komponente der Oracle Fusion Middleware enthält zwei Schwachstellen, die es
auf nicht beschriebe Art und Weise ermöglichen, Privilegien zu erhöhen und
in der Folge teilweise herbeizuführen. Ein lokaler, einfach
authentifizierter Angreifer kann seine Privilegien erweitern und so
teilweise Denial-of-Service-Zustände herbeiführen.
CVE-2015-0461: Schwachstelle in Oracle-Access-Manager ermöglicht Ausführen
beliebigen Programmcodes mit den Rechten des Dienstes
Die Unterkomponente Authentication-Engine der Oracle Fusion Middleware
Komponente Oracle-Access-Manager enthält eine Schwachstelle, die die
Ausführung von Programmcode mit den Rechten des Dienstes und das Ausspähen
von Informationen ermöglicht. Ein entfernter, einfach authentifizierter
Angreifer kann Programmcode mit den Rechten des Dienstes zur Ausführung
bringen und Zugriff auf vertrauliche Informationen erlangen.
CVE-2015-0456: Schwachstelle in der Oracle WebCenter Portal Komponente
ermöglicht Manipulation von Daten
Eine Schwachstelle in der Unterkomponente Portlet-Services der Komponente
Oracle-WebCenter-Portal von Oracle Fusion Middleware ermöglicht, auf nicht
näher beschriebene Weise, die Veränderung von Daten. Ein entfernter, nicht
authentifizierter Angreifer kann Daten verändern.
CVE-2015-0451: Schwachstelle in der OpenSSO Komponente ermöglicht Ausspähen
von Informationen
Es besteht eine Schwachstelle in der Unterkomponente OpenSSO-Web-Agents der
OpenSSO Komponente von Oracle Fusion Middleware, die den Zugriff auf
vertrauliche Informationen ermöglicht. Ein entfernter, einfach
authentifizierter Angreifer kann Zugriff auf vertrauliche Informationen
erlangen.
CVE-2015-0450: Schwachstelle in der Oracle WebCenter Portal Komponente
ermöglicht Manipulation von Daten
Eine Schwachstelle in der Unterkomponente WebCenter-Spaces-Application der
Oracle-WebCenter-Portals Komponente von Oracle Fusion Middleware ermöglicht,
auf nicht näher beschriebene Weise, die Veränderung von Daten. Ein
entfernter, nicht authentifizierter Angreifer kann Daten verändern.
CVE-2015-0449: Schwachstelle ermöglicht die Manipulation von Daten
ermöglicht Manipulation von Daten
Die Unterkomponente Console der Komponente WebLogic-Server von Oracle Fusion
Middleware enthält eine Schwachstelle, die eine Manipulation von Daten
ermöglicht. Ein entfernter, nicht authentisierter Angreifer kann Daten
verändern.
CVE-2014-0112: Schwachstelle im Apache Struts Parameters Interceptor
Aufgrund einer unvollständigen Korrektur von CVE-2014-0094 ist im Parameters
Interceptor von Apache Struts immer noch ein Zugang zur getClass Methode
möglich, was wiederum die Manipulation des ClassLoaders erlaubt.
Ein entfernter Angreifer kann diese Schwachstelle dazu ausnutzen, beliebigen
Code mit den Rechten der Apache Struts Anwendung auszuführen.
CVE-2015-0235: ‘GHOST’-Schwachstelle in der glibc
In der GNU Lib C existiert ein Heap-basierter Pufferüberlauf in der Funktion
‘__nss_hostname_digits_dots()’, die in den Funktionen ‘gethostbyname()’ und
‘gethostbyname2()’ genutzt wird. Ein entfernter, nicht authentisierter
Angreifer, der in der Lage ist, eine Anwendung zum Aufruf einer dieser
beiden Funktionen zu bringen, kann die Schwachstelle nutzen, um beliebigen
Programmcode mit den Rechten des Anwenders, der die aufrufende Anwendung
betreibt, zur Ausführung zu bringen oder einen Systemabsturz zu bewirken.
Die Schwachstelle kursiert im Internet unter dem Namen ‘GHOST’ .
CVE-2014-3571: Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff
OpenSSL bevor 0.9.8zd, 1.0.0 bevor 1.0.0p sowie 1.0.1 bevor 1.0.1k erlaubt
einem entfernten, nicht authentifizierten Angreifer, mittels einer
präparierten DTLS-Nachricht, welche mit verschiedenen Leseoperationen für
den Handshake-Header und den Handshake-Body verarbeitet wird, in Verbindung
mit den Funktionen “dtls1_get_record” und “ssl3_read_n” in s3_pkt.c, einen
Denial-of-Service (DoS)-Zustand herbeizuführen (NULL pointer Dereference und
Absturz der Applikation).
CVE-2014-1568: Schwachstelle in Mozilla Network Security Services ermöglicht
das Umgehen von Sicherheitsvorkehrungen
Es existiert eine Schwachstelle in der Network Security Services (NSS)
Bibliothek, die das Fälschen von RSA-Zertifikaten ermöglicht. Die
Schwachstelle ist auf das zu wenig restriktive Parsen der ASN.1-Werte
zurückzuführen. Ein entfernter, nicht authentifizierter Angreifer kann
darüber Sicherheitsvorkehrungen umgehen und Informationen ausspähen.
CVE-2013-4286: Apache Tomcat: Schwachstelle ermöglicht ‘Request-Smuggling’
Falls im Apache Tomcat der HTTP Connector oder der AJP Connector verwendet
werden, werden bestimmte inkonsistente HTTP-Header nicht fehlerfrei
verarbeitet. Dies ermöglicht einem entfernten, nicht authentifizierten
Angreifer durch einen ‘Request-Smuggling’ Angriff weitere Angriffe wie Cache
Poisoning, Session Hijacking oder Cross-Site-Scripting durchzuführen.
CVE-2014-0050: Schwachstelle in Apache Commons FileUpload ermöglicht DoS
Apache Commons FileUpload verarbeitet bestimmte MultipartStreams nicht
fehlerfrei, falls der verwendete Puffer zu klein ist. Dies ermöglicht einem
entfernten, nicht authentifizierten Angreifer durch das Senden eines
präparierten MultipartStreams, dessen Puffergröße nicht ausreichend ist, den
Webserver in eine Endlosschleife zu versetzen und somit einen
Denial-of-Service-Zustand auszulösen.
CVE-2013-4545: Schwachstelle in libcurl mit openssl-Bibliothek
Eine Schwachstelle in der libcurl, wenn openssl als TLS/SSL-Bibliothek
verwendet wird, führt dazu, dass Servernamen nicht mehr richtig geprüft
werden, wenn die Umgebungsvariable CURLOPT_SSL_VERIFYPEER auf ‘0’ gesetzt
ist. Eine Anwendung könnte so fälschlicherweise davon ausgehen, dass eine
Überprüfung durchgeführt wurde, obwohl dies nicht der Fall ist. Ein
entfernter, nicht authentifizierter Angreifer kann sich durch Ausnutzen der
Schwachstelle mit einem anderen Hostname identifizieren.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0556/
Schwachstelle CVE-2013-4545 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4545
Schwachstelle CVE-2014-0050 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0050
Schwachstelle CVE-2013-4286 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4286
Schwachstelle CVE-2014-0112 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0112
Schwachstelle CVE-2014-1568 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1568
Schwachstelle CVE-2014-3571 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3571
Schwachstelle CVE-2015-0235 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0235
Oracle Critical Patch Update April 2015:
http://www.oracle.com/technetwork/topics/security/cpuapr2015-2365600.html
Schwachstelle CVE-2015-0449 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0449
Schwachstelle CVE-2015-0450 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0450
Schwachstelle CVE-2015-0451 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0451
Schwachstelle CVE-2015-0456 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0456
Schwachstelle CVE-2015-0461 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0461
Schwachstelle CVE-2015-0474 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0474
Schwachstelle CVE-2015-0482 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0482
Schwachstelle CVE-2015-0493 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0493
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
