UPDATE: DFN-CERT-2022-0119 Oracle Fusion Middleware: Mehrere Schwachstellen ermöglichen u. a. die komplette Kompromittierung der betroffenen Software

UPDATE: DFN-CERT-2022-0119 Oracle Fusion Middleware: Mehrere Schwachstellen ermöglichen u. a. die komplette Kompromittierung der betroffenen Software

Von

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 2 (30.11.22):
Die Schwachstelle CVE-2021-35587 in der Komponente ‘OpenSSO Agent’ von
Oracle Access Manager, welche für Single Sign-on (SSO) in Oracle Fusion
Middleware genutzt wird, erlaubt das Anlegen von Benutzern mit beliebigen
Rechten, das Ausführen beliebigen Programmcodes und somit die vollständige
Kompromittierung der Software. Im Oracle Access Manager in den Versionen
11.1.2.3.0, 12.2.1.3.0 und 12.2.1.4.0 wurde die Schwachstelle behoben. Der
Entdecker der Schwachstelle weist aber darauf hin, dass sich diese
Schwachstelle ebenfalls in Oracle Weblogic Server 11g (10.3.6.0) und
Oracle Access Manager 11g (11.1.2.0.0) befindet. Diese Software wird seit
Anfang 2022 nicht mehr unterstützt und ist somit mangels Patch weiterhin
für diese Schwachstelle anfällig. Laut CISA (Cybersecurity and
Infrastructure Security Agency) liegen inzwischen Hinweise auf einen
funktionsfähigen Exploit und der aktiven Ausnutzung der Schwachstelle vor
(siehe Referenzen).
Version 1 (19.01.22):
Neues Advisory

In Oracle Fusion Middleware existieren mehrere Schwachstellen in den
Komponenten Oracle Access Manager, Oracle Business Intelligence Enterprise
Edition, Oracle WebLogic Server, Oracle HTTP Server, Oracle Business
Activity Monitoring, Oracle Data Integrator, Oracle Enterprise Data Quality,
Oracle BI Publisher, Oracle Business Process Management Suite, Oracle
Managed File Transfer, Oracle WebCenter Portal, Oracle Fusion Middleware
MapViewer sowie Oracle Fusion Middleware, die es einem Angreifer aus der
Ferne ermöglichen die Software vollständig zu kompromittieren, Informationen
auszuspähen, Dateien zu manipulieren, beliebigen Programmcode auszuführen
sowie einen Cross-Site-Scripting (XSS)-Angriff, Server-Side-Request-Forgery
(SSRF)-Angriffe und Denial-of-Service (DoS)-Angriffe durchzuführen.

Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien
erforderlich. Mehrere Schwachstellen erfordern dabei die Interaktion eines
Benutzers und die erfolgreiche Ausnutzung mehrerer Schwachstellen kann
Einfluss auf andere Komponenten haben.

Mit Behebung der Schwachstellen CVE-2018-1324, CVE-2020-11023,
CVE-2021-36090, CVE-2021-39154 und CVE-2021-44832 werden zusätzliche
Schwachstellen behoben, die aber hier nicht weiter aufgeführt werden.

Oracle veröffentlicht mit dem Patchtag im Januar 2022 Sicherheitsupdates für
die betroffenen Komponenten. Darüber hinaus informiert Oracle, dass die
Schwachstellen CVE-2021-44228 und CVE-2021-45046 in Apache Log4j mit diesen
Sicherheitsupdates behoben werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2022-0119]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team


(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

© COMPUTEC MEDIA GmbH
Nach oben