Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Oracle E-Business Suite 12.1.1
Oracle E-Business Suite 12.1.2
Oracle E-Business Suite 12.1.3
Oracle E-Business Suite 12.2.3
Oracle E-Business Suite 12.2.4
Oracle E-Business Suite 12.2.5
Oracle E-Business Suite 12.2.6
Oracle E-Business Suite 12.2.7
Betroffene Plattformen:
GNU/Linux
HP-UX
IBM AIX
Microsoft Windows Server
Oracle Solaris
Mehrere Schwachstellen in verschiedenen Komponenten der Oracle E-Business
Suite ermöglichen einem entfernten, zumeist nicht authentisierten Angreifer
die Manipulation und das Ausspähen von kritischen Daten sowie Daten, auf die
die jeweiligen Komponenten Zugriff haben. Eine der Schwachstellen kann nur
von einem lokalen Angreifer ausgenutzt werden, für die Ausnutzung weiterer
Schwachstellen sind geringe oder erweiterte Privilegien notwendig. Die
Schwachstellen betreffen jeweils unterschiedliche Versionen der E-Business
Suite.
Oracle stellt Sicherheitsupdates für Oracle E-Business Suite zur Behebung
der Schwachstellen bereit. Mit diesen Sicherheitsupdates werden zusätzlich
zwei Schwachstellen in OpenSSL behoben, die einem entfernten, nicht
authentisierten Angreifer die Darstellung falscher und das Ausspähen von
Informationen ermöglichen. Die Oracle E-Business Suite ist außerdem von
Schwachstellen in der Oracle Database und Oracle Fusion Middleware
betroffen, für die im Zuge des kritischen Patch Updates im Januar 2018
ebenfalls Sicherheitsupdates bereitgestellt werden und die entsprechend
installiert werden sollten.
Patch:
Oracle Critical Patch Update Advisory – Januar 2018 – Oracle E-Business
Suite
http://www.oracle.com/technetwork/security-advisory/cpujan2018-3236628.html#AppendixEBS
CVE-2018-2691: Schwachstelle in Oracle E-Business Suite ermöglicht
Manipulation von Daten und Ausspähen von Informationen
Eine leicht auszunutzende Schwachstelle in der Komponente User Management
der Oracle E-Business Suite (Subkomponente: Proxy User Delegation)
ermöglicht einem entfernten Angreifer mit niedrigen Privilegien und
Netzwerkzugriff über HTTP die Manipulation und das Ausspähen einiger von der
Komponente erreichbaren Daten.
CVE-2018-2684: Schwachstelle in Oracle E-Business Suite ermöglicht Ausspähen
von Informationen
Eine leicht auszunutzende Schwachstelle in der Komponente User Management
der Oracle E-Business Suite (Subkomponente: Registration Process) ermöglicht
einem entfernten Angreifer mit erweiterten Privilegien und Netzwerkzugriff
über HTTP den Lesezugriff auf alle von der Komponente erreichbaren Daten und
weitere kritische Daten.
CVE-2018-2656: Schwachstelle in Oracle E-Business Suiteermöglicht
Manipulation von Daten und Ausspähen von Informationen
Eine leicht auszunutzende Schwachstelle in der Komponente General Ledger der
Oracle E-Business Suite (Subkomponente: Data Manager Server) ermöglicht
einem entfernten, nicht authentisierten Angreifer mit Netzwerkzugriff über
HTTP die Kompromittierung der Software. Durch einen erfolgreichen Angriff
kann der Angreifer alle von der Komponente erreichbaren Daten und weitere
kritische Daten lesen und manipulieren.
CVE-2018-2655: Schwachstelle in Oracle E-Business Suite ermöglicht
Manipulation von Daten und Ausspähen von Informationen
Eine leicht auszunutzende Schwachstelle in der Komponente Work in Process
der Oracle E-Business Suite (Subkomponente: Assemble/Configure to Order)
ermöglicht einem entfernten, nicht authentisierten Angreifer mit
Netzwerkzugriff über HTTP die Kompromittierung der Software. Durch einen
erfolgreichen Angriff kann der Angreifer alle von der Komponente
erreichbaren Daten und weitere kritische Daten lesen und manipulieren.
CVE-2018-2635: Schwachstelle in Oracle E-Business Suite ermöglicht
Manipulation von Daten und Ausspähen von Informationen
Eine schwer auszunutzende Schwachstelle in der Komponente Application Object
Library der Oracle E-Business Suite (Subkomponente: Login) ermöglicht einem
entfernten, nicht authentisierten Angreifer mit Netzwerkzugriff über HTTP
die Manipulation und das Ausspähen einiger von der Komponente erreichbaren
Daten.
CVE-2018-2580: Schwachstelle in Oracle E-Business Suite ermöglicht Ausspähen
von Informationen
Eine leicht auszunutzende Schwachstelle in der Komponente Applications DBA
der Oracle E-Business Suite (Subkomponente: ADPatch) ermöglicht einem
lokalen Angreifer mit erweiterten Privilegien, der sich auf der
Infrastruktur, auf der Applications DBA ausgeführt wird, einloggen kann, den
Lesezugriff auf alle durch die Komponente erreichbaren und auf weitere
kritische Daten.
CVE-2017-3736: Schwachstelle in OpenSSL ermöglicht Ausspähen von
Informationen
In der ‘Montgomery Squaring’ Prozedur auf x86_64-Architekturen existiert
eine Schwachstelle aufgrund einer fehlerhaften Berechnung in der Funktion
‘bn_sqrx8x_internal’. Elliptic Curve Algorithmen sind davon nicht betroffen
und auch Angriffe gegen RSA und DSA werden als sehr schwierig und deshalb
als wenig wahrscheinlich angesehen. Dagegen erscheinen Angriffe gegen Diffie
Hellman (DH) möglich, wenn persistente DH-Parameter verwendet und private
Schlüssel von vielen Clients geteilt werden. Ein entfernter, nicht
authentisierter Angreifer, der Online-Zugriff auf ein angreifbares System
hat, kann diese Schwachstelle ausnutzen, um private Schlüssel zu ermitteln
und damit sensible Informationen auszuspähen. Von der Schwachstelle
betroffen sind nur Prozessoren, die BMI1-, BMI2- und ADX-Erweiterungen
unterstützen, wie Intel Broadwell (5th Generation) und spätere oder AMD
Ryzen. Diese Schwachstelle ist der in OpenSSL 1.0.2e behobenen CVE-2015-3193
sowie der in OpenSSL 1.0.2k behobenen CVE-2017-3732 sehr ähnlich, muss aber
gesondert behandelt werden.
Im Kontext von Oracle MySQL betrifft diese Schwachstelle die Komponente
Connector/ODBC (OpenSSL) des Produktes MySQL Connectors, die Komponente
Monitoring: General (OpenSSL) des Produktes MySQL Enterprise Monitor sowie
die Komponente Core (OpenSSL) des Produktes VM VirtualBox.
CVE-2017-3735: Schwachstelle in OpenSSL ermöglicht Darstellen falscher
Informationen
Bei der Verarbeitung einer IPAdressFamily-Extension eines X.509-Zertifikats
kann es zum Zugriff auf ein Byte außerhalb des zugewiesenen Speicherbereichs
kommen. Ein entfernter, nicht authentisierter Angreifer kann eine
Schwachstelle in OpenSSL ausnutzen, um falsche Informationen in der
Textansicht eines X.509-Zertifikats darzustellen. Da die Herkunft der
Informationen in einem nicht dafür vorgesehenen Speicherbereich liegt,
lassen sich dadurch möglicherweise auch Informationen ausspähen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2018-0106/
Schwachstelle CVE-2017-3735 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3735
Schwachstelle CVE-2017-3736 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3736
Oracle Critical Patch Update Advisory – Januar 2018 – Oracle E-Business Suite:
http://www.oracle.com/technetwork/security-advisory/cpujan2018-3236628.html#AppendixEBS
Oracle CPUJan2018 Risk Matrix – Oracle E-Business Suite:
http://www.oracle.com/technetwork/security-advisory/cpujan2018verbose-3236630.html#EBS
Schwachstelle CVE-2018-2580 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-2580
Schwachstelle CVE-2018-2635 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-2635
Schwachstelle CVE-2018-2655 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-2655
Schwachstelle CVE-2018-2656 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-2656
Schwachstelle CVE-2018-2684 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-2684
Schwachstelle CVE-2018-2691 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-2691
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
