DFN-CERT-2018-1408 Oracle Fusion Middleware: Mehrere Schwachstellen ermöglichen u.a. die komplette Kompromittierung betroffener Komponenten

DFN-CERT-2018-1408 Oracle Fusion Middleware: Mehrere Schwachstellen ermöglichen u.a. die komplette Kompromittierung betroffener Komponenten

Von

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 1 (18.07.18):
Neues Advisory

In der Oracle Fusion Middleware existieren mehrere Schwachstellen in den
Komponenten BI Publisher (Subkomponenten: BI Publisher Security, Layout
Tools, Web Server), FMW Platform (Common Components), MapViewer (Install,
Map Builder), Oracle API Gateway (OpenSSL), Oracle Business Process
Management Suite (Process Analysis & Discovery), Oracle Endeca Information
Discovery Studio (Jetty), Oracle Enterprise Data Quality (General), Oracle
Enterprise Repository (Security Subsystem), Oracle Fusion Middleware (Oracle
Notification Service), Oracle Internet Directory (SSL/TLS), Oracle
JDeveloper (Bouncy Castle Java Package), Oracle Outside In Technology
(Outside In Filters, Outside In Search Export SDK), Oracle SOA Suite (Health
Care FastPath), Oracle Tuxedo (Core, SSL/TLS), Oracle WebCenter Portal
(Portlet Services, Security Framework), Oracle WebLogic Server (Console,
Core Components, JSF, SAML, Sample Apps, Web Services) und in von diesen
Komponenten eingesetzten Produkten Apache Batik, Apache Log4j, Apache
Tomcat, Bouncy Castle, jackson-databind, Jetty, OpenSSL, Spring Framework
und zlib.

Durch Ausnutzen der Schwachstellen kann ein zumeist entfernter, nicht
authentisierter Angreifer Privilegien erlangen, Informationen ausspähen,
Daten manipulieren, Denial-of-Service (DoS)-Angriffe durchführen,
Sicherheitsvorkehrungen umgehen und beliebigen Programmcode zur Ausführung
bringen.

Oracle weist darauf hin, dass durch Ausnutzung mehrerer Schwachstellen die
jeweils betroffene Komponente komplett übernommen werden kann. Dies betrifft
Enterprise Data Quality, Enterprise Repository, MapViewer, Oracle WebCenter
Portal, WebLogic Server und Fusion Middleware bzw. FMW Platform selbst.

Für die Schwachstellen CVE-2015-0204 und CVE-2018-2933 stellt Oracle im
nicht öffentlichen Bereich der Herstellerwebseite dedizierte Hinweise zur
Verfügung.

Oracle Fusion Middleware Produkte verwenden darüber hinaus Oracle Database
Komponenten, für die ein eigenes Sicherheitsupdate zur Verfügung steht.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-1408]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team


(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

© COMPUTEC MEDIA GmbH
Nach oben