Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Oracle API Gateway 11.1.2.4.0
Oracle Business Intelligence 11.1.1.9.0 Enterprise
Oracle Business Intelligence 12.2.1.1.0 Enterprise
Oracle Business Intelligence 12.2.1.2.0 Enterprise
Oracle Data Integrator 11.1.1.7.0
Oracle Data Integrator 11.1.1.9.0
Oracle Data Integrator 12.1.3.0.0
Oracle Data Integrator 12.2.1.0.0
Oracle Endeca Server 7.3.0.0
Oracle Endeca Server 7.4.0.0
Oracle Endeca Server 7.5.0.0
Oracle Endeca Server 7.5.1.0
Oracle Endeca Server 7.6.0.0
Oracle Endeca Server 7.6.1.0
Oracle Endeca Server 7.7.0.0
Oracle Enterprise Data Quality 8.1.13.0.0
Oracle Enterprise Repository 11.1.1.7.0
Oracle Enterprise Repository 12.1.3.0.0
Oracle Fusion Middleware
Oracle OpenSSO 3.0.0.8
Oracle BI Publisher 11.1.1.7.0
Oracle BI Publisher 11.1.1.9.0
Oracle BI Publisher 12.2.1.1.0
Oracle BI Publisher 12.2.1.2.0
Oracle Outside In Technology 8.5.3.0
Oracle Secure Enterprise Search 11.2.2.2.0
Oracle Service Bus 11.1.1.9.0
Oracle Traffic Director 11.1.1.7.0
Oracle Traffic Director 11.1.1.9.0
Tuxedo 12.1.1
Oracle Tuxedo System and Applications Monitor (TSAM) 11.1.1.2.0
Oracle Tuxedo System and Applications Monitor (TSAM) 11.1.1.2.1
Oracle Tuxedo System and Applications Monitor (TSAM) 11.1.1.2.2
Oracle Tuxedo System and Applications Monitor (TSAM) 12.1.1.1.0
Oracle Tuxedo System and Applications Monitor (TSAM) 12.1.3.0.0
Oracle Tuxedo System and Applications Monitor (TSAM) 12.2.2.0.0
Oracle WebCenter Content 11.1.1.9.0
Oracle WebCenter Content 12.2.1.1.0
Oracle WebCenter Content 12.2.1.2.0
Oracle Weblogic Server 10.3.6.0
Oracle Weblogic Server 12.1.3.0
Oracle Weblogic Server 12.2.1.1
Oracle Weblogic Server 12.2.1.2
Betroffene Plattformen:
GNU/Linux
Microsoft Windows
Oracle Solaris
In der Oracle Fusion Middleware existieren mehrere Schwachstellen in
verschiedenen Komponenten, u.a. WebLogic Server, Endeca Server, WebCenter
Content, Enterprise Data Quality, Tuxedo, Tuxedo System and Applications
Monitor, Enterprise Repository, Traffic Director, OpenSSO, API Gateway,
Service Bus und BI Publisher sowie deren Unterkomponenten. Durch Ausnutzen
der Schwachstellen kann ein zumeist entfernter, auch nicht authentifizierter
Angreifer Informationen ausspähen, Dateien manipulieren, Denial-of-Service
(DoS)-Angriffe durchführen sowie die Anwendungen Tuxedo System and
Applications Monitor, WebLogic Server, Enterprise Data Quality, Enterprise
Repository, Data Integrator, OpenSSO, Endeca Server und Traffic Director
komplett übernehmen.
Oracle stellt Sicherheitsupdates für die betroffenen Produkte zur Verfügung.
In der Übersicht der behobenen Schwachstelle wird CVE-2015-7501
stellvertretend für die Schwachstelle CVE-2011-2730 aufgeführt,
CVE-2015-7940 stellvertretend für CVE-2015-7501 und CVE-2016-5019,
CVE-2016-2834 stellvertretend für CVE-2016-1950 und CVE-2016-1979 sowie
CVE-2017-3732 stellvertretend für CVE-2016-7055 und CVE-2017-3731.
Oracle Fusion Middleware Produkte verwenden darüber hinaus Oracle Database
Komponenten, für die ein eigenes Sicherheitsupdate zur Verfügung steht.
Patch:
Oracle Critical Patch Update Advisory Juli 2017 – CPUJul2017 (Oracle Fusion
Middleware)
http://www.oracle.com/technetwork/security-advisory/cpujul2017-3236622.html#AppendixFMW
CVE-2017-10196: Schwachstelle in Fusion Middleware ermöglicht u.a.
Denial-of-Service-Angriff
In der Subkomponente Outside In Filters der Komponente Outside In Technology
der Oracle Fusion Middleware existiert eine leicht ausnutzbare
Schwachstelle. Ein entfernter, nicht authentisierter Angreifer kann die
Schwachstelle über das HTTP-Protokoll ausnutzen und Outside In Technology
kompromittieren. Der Angreifer kann dadurch unerlaubt einige der über die
Komponente erreichbaren Daten ändern und löschen sowie neue erstellen oder
einen Denial-of-Service (DoS)-Angriff durchführen.
CVE-2017-10178: Schwachstelle in Fusion Middleware ermöglicht Ausspähen von
Informationen und Manipulieren von Daten
In der Subkomponente Web Container der Komponente WebLogic Server der Oracle
Fusion Middleware existiert eine leicht ausnutzbare Schwachstelle. Ein
entfernter, nicht authentisierter Angreifer kann die Schwachstelle über das
HTTP-Protokoll ausnutzen und WebLogic Server in einer Interaktion mit einem
weiteren Benutzer kompromittieren. Der Angreifer kann dadurch unerlaubt
einige der über die Komponente erreichbaren Daten ändern / lesen / löschen
beziehungsweise neue erstellen. Die Schwachstelle kann auch Auswirkungen auf
andere Produkte haben.
CVE-2017-10148: Schwachstelle in Fusion Middleware ermöglicht Manipulieren
von Daten
In der Subkomponente Core Components der Komponente WebLogic Server der
Oracle Fusion Middleware existiert eine leicht ausnutzbare Schwachstelle.
Ein entfernter, nicht authentisierter Angreifer kann die Schwachstelle über
das Daten-Austausch-Protokoll T3 ausnutzen und WebLogic Server
kompromittieren, wodurch dieser einige der über die Komponente erreichbaren
Daten ändern / löschen sowie neue erstellen kann. Die Schwachstelle kann
auch Auswirkungen auf andere Produkte haben.
CVE-2017-10147: Schwachstelle in Fusion Middleware ermöglicht
Denial-of-Service-Angriff
In der Subkomponente Core Components der Komponente WebLogic Server der
Oracle Fusion Middleware existiert eine leicht ausnutzbare Schwachstelle.
Ein entfernter, nicht authentisierter Angreifer kann die Schwachstelle über
das Daten-Austausch-Protokoll T3 ausnutzen und WebLogic Server
kompromittieren, wodurch ein Denial-of-Service (DoS)-Zustand herbeigeführt
werden kann. Die Schwachstelle kann auch Auswirkungen auf andere Produkte
haben.
CVE-2017-10141: Schwachstelle in Fusion Middleware ermöglicht u.a.
Denial-of-Service-Angriff
In der Subkomponente Outside In Filters der Komponente Outside In Technology
der Oracle Fusion Middleware existiert eine leicht ausnutzbare
Schwachstelle. Ein entfernter, nicht authentisierter Angreifer kann die
Schwachstelle über das HTTP-Protokoll ausnutzen und Outside In Technology
kompromittieren. Der Angreifer kann dann einen Denial-of-Service
(DoS)-Zustand herbeiführen sowie unerlaubt einige der über die Komponente
erreichbaren Daten ändern / löschen sowie neue erstellen.
CVE-2017-10137: Schwachstelle in Fusion Middleware ermöglicht Übernahme
einer Komponente
In der Subkomponente JNDI der Komponente WebLogic Server der Oracle Fusion
Middleware existiert eine leicht ausnutzbare Schwachstelle. Ein entfernter,
nicht authentisierter Angreifer kann die Schwachstelle über das
HTTP-Protokoll ausnutzen und WebLogic Server kompromittieren, wodurch dieser
die Komponenten vollständig übernehmen kann. Die Schwachstelle kann auch
Auswirkungen auf andere Produkte haben.
CVE-2017-10123: Schwachstelle in Fusion Middleware ermöglicht Ausspähen von
Informationen
In der Subkomponente Web Container der Komponente WebLogic Server der Oracle
Fusion Middleware existiert eine leicht ausnutzbare Schwachstelle. Ein
entfernter, einfach authentisierter Angreifer kann die Schwachstelle über
das HTTP-Protokoll ausnutzen und WebLogic Server kompromittieren. Der
Angreifer kann dadurch unerlaubt lesend auf einige der über die Komponente
erreichbaren Daten zugreifen.
CVE-2017-10119: Schwachstelle in Fusion Middleware ermöglicht Ausspähen von
Informationen und Manipulieren von Daten
In der Subkomponente OSB Web Console Design Admin der Komponente Service Bus
der Oracle Fusion Middleware existiert eine leicht ausnutzbare
Schwachstelle. Ein entfernter, einfach authentisierter Angreifer kann die
Schwachstelle über das HTTP-Protokoll ausnutzen und Service Bus in einer
Interaktion mit einem weiteren Benutzer kompromittieren. Der Angreifer kann
dadurch unerlaubt lesend auf kritische oder auf sämtliche der über die
Komponente erreichbaren Daten zugreifen und einige der Daten auch ändern und
löschen beziehungsweise neue erstellen. Die Schwachstelle kann auch
Auswirkungen auf andere Produkte haben.
CVE-2017-10075: Schwachstelle in Fusion Middleware ermöglicht Ausspähen von
Informationen und Manipulieren von Daten
In der Subkomponente Content Server der Komponente WebCenter Content der
Oracle Fusion Middleware existiert eine leicht ausnutzbare Schwachstelle.
Ein entfernter, nicht authentisierter Angreifer kann die Schwachstelle über
das HTTP-Protokoll ausnutzen und WebCenter Content in einer Interaktion mit
einem weiteren Benutzer kompromittieren. Der Angreifer kann dadurch
unerlaubt lesend auf kritische oder auf sämtliche der über die Komponente
erreichbaren Daten zugreifen und einige der Daten auch ändern und löschen
beziehungsweise neue erstellen. Die Schwachstelle kann auch Auswirkungen auf
andere Produkte haben.
CVE-2017-10063: Schwachstelle in Fusion Middleware ermöglicht u.a.
Manipulieren von Daten
In der Subkomponente Web Services der Komponente WebLogic Server der Oracle
Fusion Middleware existiert eine schwer ausnutzbare Schwachstelle. Ein
entfernter, nicht authentisierter Angreifer kann die Schwachstelle über das
HTTP-Protokoll ausnutzen und WebLogic Server kompromittieren. Der Angreifer
kann dadurch unerlaubt einige der über die Komponente erreichbaren Daten
ändern und löschen sowie neue erstellen oder einen Denial-of-Service
(DoS)-Angriff durchführen.
CVE-2017-10059: Schwachstelle in Fusion Middleware ermöglicht Ausspähen von
Informationen und Manipulieren von Daten
In der Subkomponente Mobile Service der Komponente BI Publisher der Oracle
Fusion Middleware existiert eine leicht ausnutzbare Schwachstelle. Ein
entfernter, einfach authentisierter Angreifer kann die Schwachstelle über
das HTTP-Protokoll ausnutzen und BI Publisher in einer Interaktion mit einem
weiteren Benutzer kompromittieren. Der Angreifer kann dadurch unerlaubt
lesend auf kritische oder auf sämtliche der über BI Publisher erreichbaren
Daten zugreifen und einige der Daten auch ändern und löschen beziehungsweise
neue erstellen. Die Schwachstelle kann auch Auswirkungen auf andere Produkte
haben.
CVE-2017-10058: Schwachstelle in Fusion Middleware ermöglicht Ausspähen von
Informationen und Manipulieren von Daten
In der Subkomponente Analytics Web Administration der Komponente Business
Intelligence Enterprise Edition der Oracle Fusion Middleware existiert eine
leicht ausnutzbare Schwachstelle. Ein entfernter, mehrfach authentisierter
Angreifer kann die Schwachstelle über das HTTP-Protokoll ausnutzen und
Business Intelligence Enterprise kompromittieren. Dies ermöglicht dem
Angreifer das Erstellen, Löschen und Modifizieren kritischer oder sämtlicher
der über die Komponente erreichbaren Daten sowie unerlaubten Lesezugriff auf
eine Untermenge dieser Daten. Die Schwachstelle kann auch Auswirkungen auf
andere Produkte haben.
CVE-2017-10048: Schwachstelle in Fusion Middleware ermöglicht Ausspähen von
Informationen und Manipulieren von Daten
In der Subkomponente Web Interface der Komponente Enterprise Repository der
Oracle Fusion Middleware existiert eine leicht ausnutzbare Schwachstelle.
Ein entfernter, nicht authentisierter Angreifer kann die Schwachstelle über
das HTTP-Protokoll ausnutzen und Enterprise Repository in einer Interaktion
mit einem weiteren Benutzer kompromittieren. Der Angreifer kann dadurch
unerlaubt lesend auf kritische oder auf sämtliche der über Enterprise
Repository erreichbaren Daten zugreifen und einige der Daten auch ändern und
löschen beziehungsweise neue erstellen. Die Schwachstelle kann auch
Auswirkungen auf andere Produkte haben.
CVE-2017-10040: Schwachstelle in Fusion Middleware ermöglicht Ausspähen von
Informationen und Manipulieren von Daten
In der Subkomponente Content Server der Komponente WebCenter Content der
Oracle Fusion Middleware existiert eine leicht ausnutzbare Schwachstelle.
Ein entfernter, nicht authentisierter Angreifer kann die Schwachstelle über
das HTTP-Protokoll ausnutzen und WebCenter Content in einer Interaktion mit
einem weiteren Benutzer kompromittieren. Dies ermöglicht dem Angreifer das
Erstellen, Löschen und Modifizieren kritischer oder sämtlicher der über
WebCenter Content erreichbaren Daten sowie unerlaubten Lesezugriff auf eine
Untermenge dieser Daten. Die Schwachstelle kann auch Auswirkungen auf andere
Produkte haben.
CVE-2017-10028 CVE-2017-10029 CVE-2017-10030 CVE-2017-10035 CVE-2017-10041:
Schwachstellen in Fusion Middleware ermöglichen Ausspähen von Informationen
und Manipulieren von Daten
In der Subkomponente Web Server der Komponente BI Publisher der Oracle
Fusion Middleware existieren mehrere leicht ausnutzbare Schwachstellen. Ein
entfernter, nicht authentisierter Angreifer kann die Schwachstellen über das
HTTP-Protokoll ausnutzen und BI Publisher in einer Interaktion mit einem
weiteren Benutzer kompromittieren. Der Angreifer kann dadurch unerlaubt
lesend auf kritische oder auf sämtliche der über BI Publisher erreichbaren
Daten zugreifen und einige der Daten auch ändern und löschen beziehungsweise
neue erstellen. Die Schwachstellen können auch Auswirkungen auf andere
Produkte haben.
CVE-2017-10025 CVE-2017-10043 CVE-2017-10156 CVE-2017-10157: Schwachstellen
in Fusion Middleware ermöglichen Ausspähen von Informationen und
Manipulieren von Daten
In der Subkomponente BI Publisher Security der Komponente BI Publisher der
Oracle Fusion Middleware existieren mehrere leicht ausnutzbare
Schwachstellen. Ein entfernter, nicht authentisierter Angreifer kann die
Schwachstellen über das HTTP-Protokoll ausnutzen und BI Publisher, teilweise
nur in einer Interaktion mit einem weiteren Benutzer, kompromittieren. Der
Angreifer kann dadurch unerlaubt lesend auf kritische oder auf sämtliche der
über BI Publisher erreichbaren Daten zugreifen und einige der Daten auch
ändern und löschen beziehungsweise neue erstellen. Die Schwachstellen können
auch Auswirkungen auf andere Produkte haben.
CVE-2017-10024: Schwachstelle in Fusion Middleware ermöglicht Ausspähen von
Informationen und Manipulieren von Daten
In der Subkomponente Layout Tools der Komponente BI Publisher der Oracle
Fusion Middleware existiert eine leicht ausnutzbare Schwachstelle. Ein
entfernter, nicht authentisierter Angreifer kann die Schwachstelle über das
HTTP-Protokoll ausnutzen und BI Publisher in einer Interaktion mit einem
weiteren Benutzer kompromittieren. Der Angreifer kann dadurch unerlaubt
lesend auf kritische oder auf sämtliche der über BI Publisher erreichbaren
Daten zugreifen und einige der Daten auch ändern und löschen beziehungsweise
neue erstellen. Die Schwachstelle kann auch Auswirkungen auf andere Produkte
haben.
CVE-2016-5019: Schwachstelle in Apache MyFaces Trinidad ermöglicht
Ausführung beliebigen Programmcodes
Eine Schwachstelle im ‘CoreResponseStateManager’ von Apache MyFaces Trinidad
ermöglicht einem entfernten, nicht authentisierten Angreifer
Deserialisierungsangriffe mit Hilfe präparierter ‘View State’-Zeichenketten
durchzuführen.
Im Kontext der Oracle Sun Systems Products Suite ermöglicht diese leicht
ausnutzbare Schwachstelle die Kompromittierung und Übernahmen der StorageTek
Tape Analytics SW Tool Komponente.
Im Kontext des Oracle Critical Patch Update Advisory Juli 2017 besteht diese
Schwachstelle in einer nicht spezifizierten Komponente der Oracle Fusion
Middleware.
CVE-2017-5638: Schwachstelle in Apache Struts ermöglicht Ausführung
beliebigen Programmcodes mit den Rechten des Dienstes
In Apache Struts 2.3.5 – 2.3.31 und 2.5 – 2.5.10 existiert eine
Schwachstelle im Kontext des Datei-Uploads basierend auf dem Jakarta
Multipart-Parser, wodurch Inhalte im Header des Inhaltstypenwertes
(Content-Type) einer HTTP-Anfrage unzureichend bereinigt werden. Ein
Angreifer kann dies ausnutzen und ausführbaren Programmcode in den
Inhaltstypenwert injizieren, welcher dann auf einem betroffenen Webserver
zur Ausführung gebracht wird. Ein entfernter, nicht authentisierter
Angreifer kann diese Schwachstelle mit einer bösartig präparierten
HTTP-Anfrage ausnutzen und beliebigen Programmcode mit den Rechten des
Dienstes zur Ausführung zu bringen.
Im Kontext des Oracle Critical Patch Update Advisory Juli 2017 besteht diese
leicht ausnutzbare Schwachstelle in der Subkomponente Sample apps (Struts 2)
der Komponente Oracle WebLogic Server in der Oracle Fusion Middleware. Ein
entfernter, nicht authentisierter Angreifer kann die Schwachstelle über das
HTTP-Protokoll ausnutzen und den Oracle WebLogic Server kompromittieren und
die vollständige Kontrolle darüber erlangen.
CVE-2017-3732: Schwachstelle in OpenSSL ermöglicht Ausspähen von
Informationen
In der “Montgomery Squaring” Prozedur auf x86_64 Architekturen existiert
eine Schwachstelle aufgrund einer fehlerhaften Berechnung in der Funktion
‘BN_mod_exp’. Elliptic Curve Algorithmen sind davon nicht betroffen und auch
Angriffe gegen RSA und DSA werden als sehr schwierig und deshalb als wenig
wahrscheinlich angesehen. Dagegen erscheinen Angriffe gegen Diffie Hellman
(DH) möglich, wenn persistente DH-Parameter verwendet und private Schlüssel
von vielen Clients geteilt werden. Ein entfernter, nicht authentisierter
Angreifer, der Online-Zugriff auf ein angreifbares System hat, kann diese
Schwachstelle ausnutzen, um private Schlüssel zu ermitteln und damit
sensible Informationen auszuspähen. Diese Schwachstelle ist der in OpenSSL
1.0.2e behobenen CVE-2015-3193 sehr ähnlich, muss aber gesondert behandelt
werden.
Im Kontext des Oracle Critical Patch Update Advisory Juli 2017 besteht diese
schwer ausnutzbare Schwachstelle in mehreren Komponenten verschiedener
Oracle Produkte. Ein entfernter, nicht authentisierter Angreifer kann die
Schwachstelle über das HTTPS-Protokoll ausnutzen und auf sämtliche oder
kritische Daten zugreifen, die über die jeweils betroffene Komponente
erreichbar sind.
CVE-2017-3731: Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff
Wenn ein Server oder Client, welcher SSL/TLS unterstützt, auf einem 32-Bit
Host läuft und spezifische Chiffren verwendet werden, kann ein
abgeschnittenes Paket dazu führen, dass dieser Server oder Client außerhalb
von Speichergrenzen liest (Out-of-bounds Read), wodurch es normalerweise zu
einem Absturz kommt. Für OpenSSL 1.1.0 bevor 1.1.0d kann dieses durch
Verwendung von ‘CHACHA20/POLY1305’ ausgelöst werden, für Openssl 1.0.2 bevor
1.0.2k durch ‘RC4-MD5’, falls dessen Verwendung nicht deaktiviert wurde. Ein
entfernter, nicht authentisierter Angreifer kann diese Schwachstelle
ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen.
Im Kontext der Komponente MySQL Enterprise Monitor von Oracle MySQL
(Subkomponente: Monitoring: General (OpenSSL)) und der Komponente Secure
Global Desktop (Subkomponente: Core (OpenSSL)) ist die Schwachstelle über
das TLS-Protokoll schwierig ausnutzbar und durch einen erfolgreichen Angriff
kann ein vollständiger Denial-of-Service (DoS)-Zustand herbeigeführt werden.
Im Kontext des Oracle Critical Patch Update Advisory Juli 2017 besteht diese
Schwachstelle in einer nicht spezifizierten Komponente der Oracle Fusion
Middleware.
CVE-2016-0635: Schwachstelle in Oracle MySQL ermöglicht Erlangen von
Administratorrechten
Die Subkomponente Monitoring: General des MySQL Enterprise Monitor von
Oracle MySQL enthält eine nicht näher beschriebene, einfach auszunutzende
Schwachstelle. Ein entfernter, einfach authentifizierter Angreifer mit
niedrigen Privilegien kann diese Schwachstelle über das Protokoll TLS dazu
ausnutzen, den MySQL Enterprise Monitor zu übernehmen.
Im Kontext des Oracle Critical Patch Update Advisory Juli 2017 besteht diese
leicht ausnutzbare Schwachstelle in mehreren Komponenten verschiedener
Oracle Produkte. Ein entfernter, einfach authentisierter Angreifer kann die
Schwachstelle über das HTTP-Protokoll ausnutzen und die jeweils betroffene
Komponente kompromittieren und vollständig übernehmen.
CVE-2016-7055: Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff
In der Prozedur für Broadwell-spezifische Montgomery-Multiplikationen
existiert eine Schwachstelle, die zu fehlerhaften Resultaten führt, wodurch
es zum Fehlschlagen von Authentisierungen und Schlüsselvereinbarungen oder
reproduzierbar falschen Ergebnissen bei Operationen mit öffentlichen
Schlüsseln bei speziell präparierten Eingaben kommen kann. Erste Analysen
legen nahe, dass keine Angriffe gegen private RSA-, DSA- und DH-Schlüssel
möglich sind, da die fragliche Subroutine nicht in Operationen mit privaten
Schlüsseln selbst oder mit direkt von einem Angreifer wählbaren Eingaben
verwendet wird. Unter den Elliptischen Kurven (EC)-Algorithmen gilt nur
die Brainpool P-512 Kurve als betroffen und vermutlich sind Angriffe gegen
die ECDH-Schlüsselvereinbarung möglich. Ein entfernter, nicht
authentisierter Angreifer kann die Schwachstelle ausnutzen, um einen
Denial-of-Service (DoS)-Angriff durchzuführen.
Im Kontext des Oracle Critical Patch Update Advisory Juli 2017 besteht diese
Schwachstelle in einer nicht spezifizierten Komponente der Oracle Fusion
Middleware.
CVE-2016-3092: Schwachstelle in Apache Tomcat ermöglicht
Denial-of-Service-Angriff
In der Apache Commons FileUpload-Komponente von Apache Tomcat existiert eine
Denial-of-Service (DoS)-Schwachstelle. Wenn die ‘Multipart Boundaries’ von
Dateien nur knapp unterhalb der Größe des Puffers (4096 Byte) sind, der
verwendet wird, um hochgeladene Dateien zu lesen, benötigt der
FileUpload-Prozess mehrere Größenordnungen mehr Zeit, als bei den üblichen
10 Bytes. Ein entfernter, nicht authentifizierter Angreifer kann diese
Schwachstelle ausnutzen, indem er wiederholt entsprechende
FileUpload-Requests sendet und damit einen Denial-of-Service (DoS)-Zustand
verursachen.
Im Kontext des Oracle Critical Patch Update Advisory Juli 2017 besteht diese
leicht ausnutzbare Schwachstelle in mehreren Komponenten verschiedener
Oracle Produkte. Ein entfernter, nicht authentisierter Angreifer kann die
Schwachstelle über das HTTP-Protokoll ausnutzen und einen vollständigen
Denial-of-Service (DoS)-Zustand herbeiführen.
CVE-2016-2834: Schwachstellen in Network Security Services ermöglichen nicht
spezifizierte Angriffe
Mehrere Schwachstellen in der von Mozilla Firefox genutzten Bibliothek
Network Security Services (NSS) vor Version 3.23 basieren auf Fehlern in der
Speicherverwaltung im Zusammenhang mit ungültigen UTF-16-Sequenzen, der
Behandlung von UTF-16-Surrogates, der Längenermittlung bei der Umwandlung
von UCS-2- zu UTF-8-Daten sowie der Dekodierung von DER-Ganzzahlen. Ein
entfernter, nicht authentifizierter Angreifer kann nicht spezifizierte
Angriffe durchführen.
Im Kontext des Oracle Critical Patch Update Advisory Juli 2017 besteht diese
leicht ausnutzbare Schwachstelle in mehreren Komponenten verschiedener
Oracle Produkte. Ein entfernter, nicht authentisierter Angreifer kann die
Schwachstelle über das HTTP-Protokoll ausnutzen und die jeweils betroffene
Komponente kompromittieren und vollständig übernehmen. Hierfür ist eine
Interaktion mit einem Anwender notwendig.
CVE-2016-1979: Schwachstelle in Mozilla NSS ermöglicht Ausführen beliebigen
Programmcodes
In den von Mozilla Firefox genutzten Network Security Services (NSS)
Bibliotheken kann es bei der Verarbeitung von DER-kodierten Schlüsseln zu
einem Speicherfehler (Use-after-free) kommen. Ein entfernter, nicht
authentisierter Angreifer kann einen Absturz herbeiführen
(Denial-of-Service) oder beliebigen Programmcode ausführen.
Im Kontext des Oracle Critical Patch Update Advisory Juli 2017 besteht diese
Schwachstelle in einer nicht spezifizierten Komponente der Oracle Fusion
Middleware.
CVE-2016-1950: Schwachstelle in NSS / Security ermöglicht Ausführen
beliebigen Programmcodes mit Benutzerrechten
In den von Mozilla Firefox und Mozilla Firefox ESR genutzten Network
Security Services (NSS) Bibliotheken sowie der Komponente Security in Apple
vor Version iOS 9.3 und Mac OS X El Capitan vor Version 10.11.4 kann es beim
Parsen bestimmter ASN.1 Strukturen zu einem Heap-basierten Speicherüberlauf
kommen. Ein entfernter, nicht authentisierter Angreifer kann mittels eines
speziell präparierten Zertifikats einen Absturz herbeiführen
(Denial-of-Service) oder beliebigen Programmcode mit Benutzerrechten
ausführen.
Im Kontext des Oracle Critical Patch Update Advisory Juli 2017 besteht diese
Schwachstelle in einer nicht spezifizierten Komponente der Oracle Fusion
Middleware.
CVE-2015-5254: Schwachstelle in Apache ActiveMQ ermöglicht Ausführen
beliebigen Programmcodes
Es existiert eine Schwachstelle in Apache ActiveMQ 5.0.0 – 5.12.1 aufgrund
einer unsicheren Deserialisierung. JMS Object Messages hängen von der
Java-Serialisierung für ‘marshaling/unmarshaling’ des Message Payloads ab.
Hierfür findet eine Deserialisierung an vielen Stellen innerhalb des Brokers
statt, wie beispielsweise in der Webkonsole oder in “Stomp Object Message
Transformation”. Aufgrund der Angreifbarkeit der Java-Serialisierung, wie es
aktuell auch in den Schwachstellen CVE-2015-6420, CVE-2015-4852,
CVE-2015-7501 und CVE-2015-8103 beschrieben wird, ist der Broker über eine
Deserialisierung nicht vertrauenswürdiger Daten verwundbar. Ferner können
Anwendungen, die den “ObjectMessage” Typ von Nachrichten verarbeiten,
verwundbar sein, da sie Objekte in ObjectMessage.getObject() Calls
deserialisieren. Ein entfernter, nicht authentisierter Angreifer kann die
Schwachstelle ausnutzen, indem er speziell präparierte Daten sendet, um
beliebigen Java Programmcode auf dem System zur Ausführung zu bringen.
Im Kontext des Oracle Critical Patch Update Advisory Juli 2017 besteht diese
leicht ausnutzbare Schwachstelle in der Subkomponente Security Subsystem
(Apache ActiveMQ) der Komponente Oracle Enterprise Repository in der Oracle
Fusion Middleware. Ein entfernter, nicht authentisierter Angreifer kann die
Schwachstelle über das HTTP-Protokoll ausnutzen und Oracle Enterprise
Repository kompromittieren und die Komponente darüber vollständig
übernehmen.
CVE-2015-7501: Schwachstelle in Apache Commons Collections ermöglicht
Ausführen beliebigen Programmcodes
Eine Schwachstelle in der Apache Commons Collections Java Bibliothek führt
dazu, dass eine Applikation, die speziell präparierte serialisierte Objekte
als Benutzereingabe ungeprüft akzeptiert sowie die Commons Collections im
Java “classpath” hat, dazu gebracht werden kann, beliebigen Programmcode mit
den Rechten der Anwendung auszuführen. Der Fehler liegt in der Art und
Weise, wie die Deserialisierung der Daten durch die Java InvokerTransformer
Klasse durchgeführt wird.
Die Commons Collections Java Bibliothek ist Bestandteil von vielen
Produkten, die dementsprechend verwundbar sind. Dazu zählen Jenkins, IBM
WebSphere, Oracle WebLogic und viele weitere.
Ein entfernter, nicht authentisierter Angreifer kann diese Schwachstelle
ausnutzen, um beliebigen Programmcode auszuführen.
Im Kontext des Oracle Critical Patch Update Advisory Juli 2017 besteht diese
leicht ausnutzbare Schwachstelle in diversen Komponenten verschiedener
Oracle Produkte. Ein entfernter, einfach authentisierter Angreifer kann die
Schwachstelle über das HTTP-Protokoll ausnutzen und die jeweils betroffene
Komponente kompromittieren und vollständig übernehmen.
CVE-2015-7940: Schwachstelle in bouncycastle ermöglicht Umgehen von
Sicherheitsvorkehrungen
In ‘bouncycastle’ Versionen älter als 1.51 existiert eine Schwachstelle,
welche sogenannte ‘invalid curve’-Angriffe gegen TLS-Implementierungen
basierend auf elliptischen Kurven ermöglicht. Hierbei zwingt ein Angreifer
einen Server dazu, für die Berechnung des asymmetrischen Schlüssels (für den
anschließenden symmetrischen Schlüsselaustausch), anstelle eines Punktes auf
einer als sicher empfohlenen elliptischen Kurve, einen Punkt außerhalb der
definierten Kurve zu verwenden. Wenn dieser Punkt nun zu einer anderen Kurve
gehört, die nur aus wenigen Punkten besteht, ist es dem Angreifer möglich,
mit nur wenigen Anfragen durch Ausprobieren den auf der Elliptic Curve
Cryptography basierenden privaten Schlüssel des Servers zu ermitteln. Ein
entfernter, nicht authentisierter Angreifer kann diese Schwachstelle
ausnutzen, um Sicherheitsvorkehrungen zu umgehen und in der Folge, als
Man-in-the-Middle, vertrauliche Informationen aus verschlüsselten
Verbindungen auszuspähen.
Im Kontext des Oracle Critical Patch Update Advisory Juli 2017 besteht diese
leicht ausnutzbare Schwachstelle in mehreren Komponenten verschiedener
Oracle Produkte. Ein entfernter, nicht authentisierter Angreifer kann die
Schwachstelle über das HTTPS-Protokoll ausnutzen und auf sämtliche oder
kritische Daten der jeweils betroffenen Komponente zugreifen.
CVE-2015-3253: Schwachstelle in Apache Groovy erlaubt Ausführen beliebigen
Programmcodes
Es existiert eine Schwachstelle in der ‘MethodClosure’-Funktion in
‘runtime/MethodClosure.java’ in Apache Groovy von Version 1.7.0 bis 2.4.3.
Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
mittels eines präparierten serialisierten Objektes ausnutzen, um beliebigen
Programmcode auszuführen oder einen Denial-of-Service-Angriff durchzuführen.
Im Kontext des Oracle Critical Patch Update Advisory Juli 2017 besteht diese
leicht ausnutzbare Schwachstelle unter anderem in der Subkomponente General
(Apache Groovy) der Komponente Enterprise Data Quality in der Oracle Fusion
Middleware. Ein entfernter, nicht authentisierter Angreifer kann die
Schwachstelle über das HTTP-Protokoll ausnutzen und Oracle Enterprise Data
Quality kompromittieren und die Komponente darüber vollständig übernehmen.
CVE-2013-2027: Schwachstelle in Jython ermöglicht das Ausführen beliebigen
Programmcodes
Eine Schwachstelle in der Erzeugung von Klassen-Cache-Dateien in Jython
führt dazu, dass Dateiberechtigungen nicht explizit gesetzt werden. Fehlen
entsprechende Umask-Einträge, werden für jeden schreib- und/oder lesbare
Dateien erzeugt. Ein entfernter, nicht authentifizierter Angreifer kann
beliebigen Programmcode ausführen.
Im Kontext des Oracle Critical Patch Update Advisory Juli 2017 besteht diese
leicht ausnutzbare Schwachstelle in der Subkomponente WLST der Komponente
Oracle WebLogic Server in der Oracle Fusion Middleware. Ein lokaler, nicht
authentisierter Angreifer, der über Zugang zu der Infrastruktur, in der der
Oracle WebLogic Server ausgeführt wird, verfügt, kann durch das Ausnutzen
der Schwachstelle unerlaubt einige der über den Oracle WebLogic Server
erreichbaren Daten lesen / ändern / löschen oder neue erstellen und hat die
Möglichkeit einen Denial-of-Service-Angriff durchzuführen.
CVE-2014-3566: POODLE: SSL 3.0 Protokoll, wie z.B. in OpenSSL verwendet,
ermöglicht das Ausspähen von Informationen
Das SSL 3.0 Protokoll, so wie es u.a. von OpenSSL bis Version 1.0.1i
implementiert wird, benutzt nicht deterministisches “Padding”. Padding ist
das Auffüllen der Nachricht mit Bytes bis zur nächsten vollen Blockgrenze
für Kryptoalgorithmen im CBC-Modus (Cipher-Block-Chaining). Dieses Padding
wird nicht durch den MAC (Message Authentication Code), d.h. eine
kryptografische Prüfsumme, überprüft. Der Empfänger von verschlüsselten
Nachrichten kann also die Integrität des Paddings nicht vollständig
überprüfen. Diese Schwäche des SSL 3.0 Protokolls kann von einem entfernten,
nicht authentifizierten Angreifer in einem Man-in-the-middle-Angriff
ausgenutzt werden, um Teile der Nachricht im Klartext zu erhalten, indem er
das Padding entsprechend modifiziert (Padding-Oracle-Angriff). Diese
Protokollschwäche wurde von seinen Entdeckern “POODLE” getauft.
Im Kontext des Oracle Critical Patch Update Advisory Juli 2017 besteht diese
schwer ausnutzbare Schwachstelle in der Subkomponente Core (OpenSSL) der
Komponente Endeca Server in der Oracle Fusion Middleware sowie in der
DBMS_LDAP Komponente des Oracle Database Servers. Ein entfernter, nicht
authentisierter Angreifer, der Netzwerkzugriff über HTTPS bzw. LDAP hat,
kann durch das Ausnutzen der Schwachstelle den Endeca Server bzw. die
Komponente DBMS_LDAP des Oracle Database Servers kompromittieren und so
unerlaubt lesend auf eine Untermenge der über den Endeca Server bzw.
DBMS_LDAP erreichbaren Daten zugreifen.
CVE-2011-2730: Schwachstelle in SpringSource Spring Framework ermöglicht
Ausführung beliebigen Programmcodes
Weil unter bestimmten Umständen Expression Language (EL)-Ausdrücke doppelt
ausgewertet werden, existiert eine Schwachstelle im Spring Framework, die
ein entfernter, nicht authentisierter Angreifer zur Ausführung beliebigen
Programmcodes ausnutzen kann.
Im Kontext des Oracle Critical Patch Update Advisory Juli 2017 besteht diese
Schwachstelle in einer nicht näher spezifizierten Komponente der Oracle
Fusion Middleware.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1236/
Schwachstelle CVE-2011-2730 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-2730
Schwachstelle CVE-2014-3566 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3566
Schwachstelle CVE-2013-2027 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-2027
Schwachstelle CVE-2015-3253 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3253
Schwachstelle CVE-2015-7940 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7940
Schwachstelle CVE-2015-7501 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7501
Schwachstelle CVE-2015-5254 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5254
Schwachstelle CVE-2016-1950 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1950
Schwachstelle CVE-2016-1979 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1979
Schwachstelle CVE-2016-2834 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2834
Schwachstelle CVE-2016-3092 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3092
Schwachstelle CVE-2016-0635 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0635
Schwachstelle CVE-2016-5019 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5019
Schwachstelle CVE-2016-7055 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7055
Schwachstelle CVE-2017-3731 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3731
Schwachstelle CVE-2017-3732 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3732
Schwachstelle CVE-2017-5638 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5638
Schwachstelle CVE-2017-10196 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10196
Oracle Critical Patch Update Advisory Juli 2017 – CPUJul2017 (Oracle Fusion
Middleware):
http://www.oracle.com/technetwork/security-advisory/cpujul2017-3236622.html#AppendixFMW
Oracle Fusion Middleware CPUJul2017 Risk Matrix:
http://www.oracle.com/technetwork/security-advisory/cpujul2017verbose-3236625.html#FMW
Schwachstelle CVE-2017-10024 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10024
Schwachstelle CVE-2017-10025 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10025
Schwachstelle CVE-2017-10028 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10028
Schwachstelle CVE-2017-10029 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10029
Schwachstelle CVE-2017-10030 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10030
Schwachstelle CVE-2017-10035 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10035
Schwachstelle CVE-2017-10040 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10040
Schwachstelle CVE-2017-10041 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10041
Schwachstelle CVE-2017-10043 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10043
Schwachstelle CVE-2017-10048 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10048
Schwachstelle CVE-2017-10058 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10058
Schwachstelle CVE-2017-10059 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10059
Schwachstelle CVE-2017-10063 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10063
Schwachstelle CVE-2017-10075 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10075
Schwachstelle CVE-2017-10119 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10119
Schwachstelle CVE-2017-10123 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10123
Schwachstelle CVE-2017-10137 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10137
Schwachstelle CVE-2017-10141 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10141
Schwachstelle CVE-2017-10147 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10147
Schwachstelle CVE-2017-10148 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10148
Schwachstelle CVE-2017-10156 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10156
Schwachstelle CVE-2017-10157 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10157
Schwachstelle CVE-2017-10178 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10178
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
