Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Oracle Fusion Middleware
MySQL Enterprise Monitor 3.2.8.2223
MySQL Enterprise Monitor 3.3.4.3247
MySQL Enterprise Monitor 3.4.2.4181
Oracle Weblogic Server 10.3.6.0
Oracle Weblogic Server 12.1.3.0
Oracle Weblogic Server 12.2.1.0
Oracle Weblogic Server 12.2.1.1
Oracle Weblogic Server 12.2.1.2
Oracle Weblogic Server 12.2.1.3
Betroffene Plattformen:
Apple Mac OS X
macOS Sierra
GNU/Linux
Microsoft Windows
Oracle Solaris
Mehrere Schwachstellen in Apache Struts ermöglichen einem entfernten, nicht
authentisierten Angreifer die Ausführung beliebigen Programmcodes sowie die
Durchführung von Denial-of-Service (DoS)-Angriffen.
Oracle veröffentlicht eine gesonderte Meldung zu den Schwachstellen in
Apache Struts und informiert darin, welche Oracle Produkte von diesen
betroffen sind und stellt entsprechende Sicherheitsupdates bereit. Unter
anderem sind der WebLogic Server der Oracle Fusion Middleware in den
Versionen 10.3.6.0, 12.1.3.0, 12.2.1.0, 12.2.1.1, 12.2.1.2 und 12.2.1.3
sowie der MySQL Enterprise Monitor von Oracle MySQL in den Versionen
3.2.8.2223, 3.3.4.3247 und 3.4.2.4181 betroffen.
Patch:
Oracle Security Alert for CVE-2017-9805
http://www.oracle.com/ocom/groups/public/@otn/documents/webcontent/3889418.xml
CVE-2017-9787: Schwachstelle in Apache Struts ermöglicht
Denial-of-Service-Angriff
In Apache Struts existiert eine nicht näher beschriebene Schwachstelle, wenn
die Spring AOP Funktionalität (Aspect Oriented Programming) zur Sicherung
von Struts-Aktionen (Spring Secured Actions) verwendet wird. Diese
ermöglicht es einem entfernten, nicht authentisierten Angreifer einen
Denial-of-Service-Angriff durchzuführen, wenn ein Benutzer ordnungsgemäß
authentifiziert wurde.
CVE-2017-12611: Schwachstelle in Apache Struts ermöglicht Ausführung
beliebigen Programmcodes
In Apache Struts existiert eine Schwachstelle, wenn ‘Expression Literals’
oder ‘Forcing Expression’ in Freemarker Tags sowie Anfragewerte (Request
Values) verwendet werden. Diese Schwachstelle ermöglicht einem entfernten,
nicht authentisierten Angreifer beliebigen Programmcode zur Ausführung zu
bringen.
CVE-2017-9805: Schwachstelle in Apache Struts ermöglicht Ausführung
beliebigen Programmcodes
In Apache Struts existiert eine Schwachstelle, wenn das Struts REST Plugin
zusammen mit dem XStream Handler mit einer Instanz von XStream ohne
irgendeine Art von Typenfilterung zur Deserialisierung von XML Anfragen
verwendet wird. Diese ermöglicht es einem entfernten, nicht authentisierten
Angreifer beliebigen Programmcode bei der Deserialisierung von XML Payloads
zur Ausführung zu bringen.
CVE-2017-9804: Schwachstelle in Apache Struts ermöglicht
Denial-of-Service-Angriff
Der vorherige Fix für S2-047 (CVE-2017-7672) hat sich als unvollständig
herausgestellt. Diese Schwachstelle existiert in Apache Struts, wenn der
eingebaute ‘URLValidator’ verwendet wird. Dies ermöglicht einem entfernten,
nicht authentisierten Angreifer über eine präparierte URL, welche er in ein
Formularfeld einträgt, den Serverprozess bei der Durchführung der
Validierung zu überlasten und dadurch einen Denial-of-Service (DoS)-Zustand
zu bewirken.
CVE-2017-9793: Schwachstelle in Apache Struts ermöglicht
Denial-of-Service-Angriff
In Apache Struts existiert eine nicht näher beschriebene Schwachstelle, wenn
die veraltete XStream-Bibliothek zusammen mit dem Struts REST Plugin
verwendet wird. Diese ermöglicht es einem entfernten, nicht authentisierten
Angreifer mit Hilfe schädlicher Anfragen mit speziell präparierter
XML-Payload einen Denial-of-Service (DoS)-Angriff durchzuführen.
CVE-2017-7672: Schwachstelle in Apache Struts ermöglicht
Denial-of-Service-Angriff
Eine nicht näher beschriebene Schwachstelle existiert in Apache Struts, wenn
der eingebaute ‘URLValidator’ verwendet wird. Diese ermöglicht einem
entfernten, nicht authentisierten Angreifer über eine präparierte URL,
welche er in ein Formularfeld einträgt, den Serverprozess bei der
Durchführung der Validierung zu überlasten und einen Denial-of-Service
(DoS)-Zustand zu bewirken.
CVE-2017-9791: Schwachstelle in Apache Struts ermöglicht Ausführung
beliebigen Programmcodes
Bei der Verwendung des ‘Struts 1’-Plugin in Apache Struts 2 existiert eine
Schwachstelle in der ‘Showcase’-Anwendung, wenn eine Struts 1 Aktion
ausgeführt wird. Ein Angreifer kann die Schwachstelle über einen bösartigen
Feld-Wert in einer einem Benutzer dargestellten Nachricht zur Ausführung
beliebigen Programmcodes ausnutzen, wenn nicht vertrauenswürdige Eingaben
als Teil von Fehlermeldungen in der ‘ActionMessage’-Klasse verwendet werden.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1688/
Schwachstelle CVE-2017-9791 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9791
Schwachstelle CVE-2017-7672 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7672
Schwachstelle CVE-2017-9787 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9787
Schwachstelle CVE-2017-9793 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9793
Schwachstelle CVE-2017-9804 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9804
Schwachstelle CVE-2017-9805 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9805
Schwachstelle CVE-2017-12611 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-12611
Oracle Security Alert for CVE-2017-9805:
http://www.oracle.com/ocom/groups/public/@otn/documents/webcontent/3889418.xml
Oracle Security Alert Advisory – CVE-2017-9805:
http://www.oracle.com/technetwork/security-advisory/alert-cve-2017-9805-3889403.html
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
