Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Oracle Application Express (APEX) < 5.0.4 Oracle Database Server 11.2.0.4 Oracle Database Server 12.1.0.1 Oracle Database Server 12.1.0.2 Betroffene Plattformen: Apple Mac OS X GNU/Linux Microsoft Windows Oracle Solaris Mehrere Schwachstelle im Oracle Datenbankserver und verschiedenen verwendeten Komponenten ermöglichen auch einem entfernten, nicht authentifizierten Angreifer die Übernehme der Kontrolle über die betroffenen Komponenten, die Manipulation und das Ausspähen von Daten sowie das Durchführen verschiedener Denial-of-Service-Angriffe. Oracle weist zusätzlich darauf hin, dass CVE-2016-3506 und CVE-2015-0204 nur Client-Installationen betreffen und dass für die erfolgreiche Ausnutzung einiger Schwachstellen eine Aktion eines Benutzers, einer anderen Person als dem Angreifer, erforderlich ist. Patch: Oracle Critical Patch Update Advisory - Juli 2016 - Oracle Database Server http://www.oracle.com/technetwork/security-advisory/cpujul2016-2881720.html#AppendixDB

CVE-2016-3609: Schwachstelle in Oracle JVM-Komponente ermöglicht Übernahme
des Systems

Es existiert eine nicht näher beschriebene Schwachstelle in der Oracle ‘Java
Virtual Machine’ (JVM)-Komponente des Oracle Datenbankservers in den
Versionen 11.2.0.4, 12.1.0.1 und 12.1.0.2. Ein entfernter, einfach
authentifizierter Angreifer kann über verschiedene Netzwerk-Protokoll
mittels ‘Create Session’ die JVM kompromittieren und die Kontrolle über
diese übernehmen kann. Um diese Schwachstelle erfolgreich ausnutzen zu
können, ist eine Benutzerinteraktion erforderlich.

CVE-2016-3506: Schwachstelle in Oracel JDBC-Komponente ermöglicht Übernahme
des Systems

Es existiert eine nicht näher beschriebene, schwer ausnutzbare Schwachstelle
in der ‘Java Database Connectivity’ (JDBC)-Komponente des Oracle
Datenbankservers in den Versionen 11.2.0.4, 12.1.0.1 und 12.1.0.2. Ein
entfernter, nicht authentifizierter Angreifer mit Zugang über Oracle Net
kann durch das Ausnutzen der Schwachstelle die JDBC-Komponente
kompromittieren und die vollständige Kontrolle über diese erlangen.

CVE-2016-3489: Schwachstelle in Oracle ‘Data Pump Import’-Komponente
ermöglicht Übernahme des Systems

Es existiert eine nicht näher beschriebene, leicht ausnutzbare Schwachstelle
in der ‘Data Pump Import’-Komponente des Oracle Datenbankservers in den
Versionen 11.2.0.4, 12.1.0.1 und 12.1.0.2. Ein lokaler, mehrfach
authentifizierter Angreifer, der über Index-Rechte auf die Systemtabelle
‘SYS.INCVID’ verfügt und Zugriff auf die Infrastruktur hat, in der ‘Data
Pump Import’ ausgeführt wird, kann die Komponente kompromittieren und die
Kontrolle über diese übernehmen.

CVE-2016-3488: Schwachstelle in Oracle Datenbankserver ermöglicht
Manipulation von Daten

Es existiert eine nicht näher beschriebene, leicht ausnutzbare Schwachstelle
in der ‘DB Sharding’-Komponente des Oracle Datenbankservers in der Version
12.1.0.2. Ein lokaler, mehrfach authentifizierter Angreifer, der über das
Privileg ‘Execute on gsmadmin_internal’ verfügt und Zugang zur
Infrastruktur, in der die ‘DB Sharding’-Komponente ausgeführt wird, hat,
kann Update-, Insert- und Delete-Befehle auf kritische Daten oder auf alle
über ‘DB Sharding’ erreichbaren Daten anwenden.

CVE-2016-3484: Schwachstelle in Oracle Datenbankserver ermöglicht
Manipulation von Daten

Es existiert eine nicht näher beschriebene, leicht ausnutzbare Schwachstelle
in der ‘Database Vault’-Komponente des Oracle Datenbankservers in den
Versionen 11.2.0.4, 12.1.0.1 und 12.1.0.2. Ein lokaler, mehrfach
authentifizierter Angreifer, der über ‘Create Public Synonym’-Rechte verfügt
und Zugang zur Infrastruktur, in der die ‘Database Vault’-Komponente
ausgeführt wird, hat, kann Update-, Insert- und Delete-Befehle auf einige
der über ‘Database Vault’ erreichbare Daten anwenden sowie Daten ausspähen.

CVE-2016-3479: Schwachstelle in Oracle Datenbankserver ermöglicht
Denial-of-Service-Angriff

Es existiert eine nicht näher beschriebene, leicht ausnutzbare Schwachstelle
in der ‘Portable Clusterware’-Komponente des Oracle Datenbankservers in den
Versionen 11.2.0.4 und 12.1.0.2. Ein entfernter, nicht authentifizierter
Angreifer mit Zugang über Oracle Net kann durch das Ausnutzen der
Schwachstelle die ‘Portable Clusterware’-Komponente in einen
Denial-of-Service-Zustand versetzen.

CVE-2016-3467: Schwachstelle in Oracle Datenbankserver ermöglicht
Denial-of-Service-Angriff

Es existiert eine nicht näher beschriebene, leicht ausnutzbare Schwachstelle
in der ‘Application Express’-Komponente des Oracle Datenbankservers. Ein
entfernter, nicht authentifizierter Angreifer kann durch das Ausnutzen der
Schwachstelle die ‘Application Express’-Komponente kompromittieren und in
einen partiellen Denial-of-Service-Zustand versetzen.

CVE-2016-3448: Schwachstelle in Oracle Datenbankserver ermöglicht
Manipulation von Daten

Es existiert eine nicht näher beschriebene, leicht ausnutzbare Schwachstelle
in der ‘Application Express’-Komponente des Oracle Datenbankservers. Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen und die ‘Application Express’-Komponente kompromittieren. Der
Angreifer ist dadurch in der Lage Update-, Insert- und Delete-Befehle auf
einige über ‘Application Express’ erreichbare Daten anzuwenden sowie Daten
auszuspähen. Zur erfolgreichen Ausnutzung der Schwachstelle ist eine
Benutzerinteraktion erforderlich.

CVE-2015-0204: Schwachstelle in OpenSSL ermöglicht Umgehen von
Sicherheitsvorkehrungen

Die ssl3_get_key_exchange-Funktion in s3_clnt.c in OpenSSL bevor 0.9.8zd,
1.0.0 bevor 1.0.0p sowie 1.0.1 bevor 1.0.1k erlaubt einem entfernten
SSL-Server RSA-to-EXPORT_RSA herunterzustufen (“downgrade attack”) und,
durch das Anbieten eines schwachen Ephemeral RSA-Schlüssels in einer nicht
verträglichen Rolle, eine Brute-Force-Entschlüsselung zu ermöglichen. Ein
entfernter, nicht authentifizierter Angreifer, der einen SSL-Server
kontrolliert, kann Sicherheitsvorkehrungen umgehen.
Oracle gibt an, dass der Oracle Datenbankserver in den Versionen 12.1.0.1
und 12.1.0.2 ebenfalls von dieser Schwachstelle betroffen ist und ein
entfernter, nicht authentifizierter Angreifer die Schwachstelle über HTTPS
ausnutzen kann, um Zugriff auf sämtliche über den Datenbankserver
erreichbare Daten zu erhalten. Für eine erfolgreiche Ausnutzung der
Schwachstelle ist allerdings eine Benutzerinteraktion erforderlich.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1164/

Schwachstelle CVE-2015-0204 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0204

Oracle Critical Patch Update Advisory – Juli 2016 – Oracle Database Server:
http://www.oracle.com/technetwork/security-advisory/cpujul2016-2881720.html#AppendixDB

Schwachstelle CVE-2016-3448 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3448

Schwachstelle CVE-2016-3467 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3467

Schwachstelle CVE-2016-3479 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3479

Schwachstelle CVE-2016-3484 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3484

Schwachstelle CVE-2016-3488 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3488

Schwachstelle CVE-2016-3489 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3489

Schwachstelle CVE-2016-3506 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3506

Schwachstelle CVE-2016-3609 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3609

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.