Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 1 (18.10.23):
Neues Advisory

Ein Angreifer kann eine Schwachstelle in Oracle REST Data Services vor
Version 23.2.2 in der Komponenten ORDS (Eclipse Jetty) einfach aus der Ferne
mittels Netzwerkzugriff über HTTP ausnutzen, um Informationen auszuspähen.

Für die Ausnutzung der Schwachstelle sind keine Privilegien erforderlich.

Oracle veröffentlicht im Zuge des Oktober 2023 Patchtags die Version 23.2.2,
um die aufgeführte Schwachstelle zu beheben. Dieser Patch inkludiert die
Adressierung der Schwachstelle CVE-2023-26048. Zusätzlich wird auch die
Schwachstelle CVE-2023-2976 in der Komponente ORDS (Google Guava) behoben,
die im Kontext dieses Produktes allerdings nicht ausgenutzt werden kann und
darum hier nicht näher erläutert wird.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2023-2537]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html