DFN-CERT-2014-0052 Oracle Database Server: Mehrere Schwachstellen ermöglichen Datenmanipulationen und Denial-of-Service [Linux][SuSE]

DFN-CERT-2014-0052 Oracle Database Server: Mehrere Schwachstellen ermöglichen Datenmanipulationen und Denial-of-Service [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Oracle Database Server 11.1.0.7
Oracle Database Server 11.2.0.3
Oracle Database Server 11.2.0.4
Oracle Database Server 12.1.0.1

Betroffene Plattformen:

Oracle Database Server
Novell SUSE Linux Enterprise Desktop 11 SP2
Novell SUSE Linux Enterprise Server 11 SP2

Ein entfernter, aber angemeldeter Benutzer kann als Angreifer über Core
RDBMS zugreifbare Daten auslesen, verändern, einfügen und löschen. Außerdem
können Angreifer das Core RDBMS zum Absturz bringen oder einen
Denial-of-Service-Zustand bewirken.

Patch:

Oracle Advisory für Januar 2014

http://www.oracle.com/technetwork/topics/security/cpujan2014-1972949.html

Patch:

SUSE Security Update SUSE-SU-2014:0130-1

http://lists.opensuse.org/opensuse-security-announce/2014-01/msg00007.html

CVE-2014-0378: Schwachstelle in der Spatial-Komponente

Diese Schwachstelle ermöglicht es einem lokal am Betriebssystem angemeldeten
Benutzer, der über Rechte ‘Create Session’ verfügt, seine Benutzerrechte zu
erweitern. Außerdem ist es dem Angreifer möglich, durch die
Spatial-Komponente zugreifbare Daten zu ändern oder zu löschen sowie weitere
Daten einzufügen. Es kann ein begrenzter Denial-of-Service-Zustand
hervorgerufen werden.

CVE-2014-0377: Schwachstelle in der Core RDBMS Komponente

Diese Schwachstelle ermöglicht einem entfernten, aber angemeldeten Angreifer
mit den Benutzerrechten ‘Create Session’, ‘Create Role’, ‘Create User’ und
‘Select’ für SYS-Tabellen nicht autorisierte Aktionen via Oracle Net.
Hierdurch kann ein erfolgreicher Angreifer einen Subset der über Core RDBMS
zugreifbaren Daten auslesen.

CVE-2013-5858: Schwachstelle in der Core RDBMS Komponente

Diese Schwachstelle ermöglicht einem entfernten, aber angemeldeten Angreifer
mit den Benutzerrechten ‘Create Session’ und ‘Create View’ nicht
autorisierte Aktionen via Oracle Net. Ein erfolgreicher Angreifer kann dann
zugreifbare Daten verändern, einfügen und löschen.

CVE-2013-5853: Schwachstelle in der Core RDBMS Komponente

Diese Schwachstelle ermöglicht einem entfernten, nicht authentifizierten
Angreifer auch ohne weitere Rechte, partielle Denial-of-Service-Angriffe
gegen Core RDBMS durchzuführen.

CVE-2013-5764: Schwachstelle in der Core RDBMS Komponente

Diese Schwachstelle ermöglicht einem entfernten, aber angemeldeten Angreifer
mit den Benutzerrechten ‘Create Session’ und ‘Alter Session’, das Core RDBMS
zum Absturz zu bringen oder einen Denial-of-Service-Zustand zu bewirken.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0052/

Oracle Advisory für Januar 2014:
http://www.oracle.com/technetwork/topics/security/cpujan2014-1972949.html

Schwachstelle CVE-2013-5764 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5764

Schwachstelle CVE-2013-5853 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5853

Schwachstelle CVE-2013-5858 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5858

Schwachstelle CVE-2014-0377 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0377

Schwachstelle CVE-2014-0419 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0419

SUSE Security Update SUSE-SU-2014:0130-1:
http://lists.opensuse.org/opensuse-security-announce/2014-01/msg00007.html

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben