DFN-CERT-2015-0080 Oracle Database Server: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes mit den Rechten des Dienstes [Linux][Unix][Solaris][Windows]

DFN-CERT-2015-0080 Oracle Database Server: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes mit den Rechten des Dienstes [Linux][Unix][Solaris][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Oracle Database Server 11.1.0.7
Oracle Database Server 11.2.0.3
Oracle Database Server 11.2.0.4
Oracle Database Server 12.1.0.1
Oracle Database Server 12.1.0.2

Betroffene Plattformen:

Oracle Database Server

Mehrere nicht näher beschriebene Schwachstellen im Oracle Datenbankserver
ermöglichen einem entfernten, am Datenbanksystem angemeldeten Benutzer,
beliebige Daten des Datenbanksystems einzusehen, zu verändern oder zu
löschen sowie beliebigen Code mit den Rechten des Datenbankservernutzers
auszuführen.

Patch:

Oracle Critical Patch Update Advisory – January 2015 (CPUJan2015)

http://www.oracle.com/technetwork/topics/security/cpujan2015-1972971.html

CVE-2015-0373: Schwachstelle in der OJVM Komponente des Oracle
Datenbankservers

In der OJVM Komponente des Oracle Datenbankservers befinden sich dieselben
Schwachstellen, die auch die Java VM vor Januar 2015 (8u25) betreffen.
Ein am Datenbankserver angemeldeter Benutzer kann beliebigen Code mit den
Rechten des Datenbankserverbenutzers ausführen.

CVE-2015-0371: Schwachstelle in der Kernkomponente des Oracle
Datenbankserver

Im Kern des Oracle Datenbankservers befindet sich eine nicht näher
beschriebene Schwachstelle.
Ein am System angemeldeter Benutzer mit “Create Session” und “Create Table”
Rechten kann beliebige Daten des Datenbanksystems löschen oder verändern
sowie einen Denial-of-Service-Angriff gegen den Datenbankserver durchführen.

CVE-2015-0370: Schwachstelle in der Kernkomponente des Oracle
Datenbankserver

Im Oracle Datenbankserver befindet sich eine nicht näher beschriebene
Schwachstelle. Ein am System angemeldeter Benutzer mit “Create Session”
Rechten kann beliebige Daten des Datenbankservers löschen oder verändern.

CVE-2014-6578: Schwachstelle im Workspace Manager des Oracle Datenbankserver

In der Workspace Manager Komponente des Oracle Datenbankservers befindet
sich eine nicht näher beschriebene Schwachstelle. Ein am Datenbankserver
angemeldeter Benutzer kann beliebigen Code im Rahmen des Workspace Managers
ausführen. Dazu werden Create Table, Create Procedure, Execute on SDO_TOPO
sowie Execute on WMSYS.LT Rechte benötigt.

CVE-2014-6577: Schwachstelle im XML Developer Kit for C des Oracle
Datenbankserver

Im “XML Developer Kit for C” des Oracle Datenbankservers befindet sich eine
nicht näher beschriebene Schwachstelle. Ein am System über HTTP angemeldeter
Angreifer kann beliebige Dateien des Systems einsehen. Dies betrifft Windows
Systeme und Versionen vor 12c des Datenbankservers. Auf anderen Plattformen
ist nur die Einsicht in einen Teil der Dateien des Betriebssystems möglich.

CVE-2014-6567: Schwachstelle in der Kernkomponente des Oracle
Datenbankserver

Im Kern des Oracle Datenbankservers befindet sich eine nicht näher
beschriebene Schwachstelle.
Ein am Datenbankserver angemeldeter Benutzer mit “Create Session” Rechten
kann beliebigen Code mit Administratorrechten auf Windows Systemen
ausführen. Auf Unix und Linux Systemen kann der Angreifer beliebigen Code
mit den Rechten des Datenbank-Nutzers ausführen.

CVE-2014-6541: Schwachstelle in der Recovery Komponente des Oracle
Datenbankserver

In der Recovery Komponente des Oracle Datenbankservers befindet sich eine
nicht näher beschriebene Schwachstelle.
Ein am System angemeldeter Benutzer mit “Execute on DBMS_IR” Rechten kann
beliebige Dateien des Betriebssystems einsehen. Dies betrifft nur Windows
Plattformen mit Oracle Datenbankservern vor Version 12c. Für andere
Datenbankversionen ist Einsicht nur in einen Teil des Betriebssystemdateien
möglich.

CVE-2014-6514: Schwachstelle in der PL/SQL Komponente des Oracle
Datenbankserver

In der PL/SQL Komponente des Oracle Datenbankservers befindet sich eine
nicht näher beschriebene Schwachstelle. Ein am Datenbanksystem angemeldeter
Benutzer mit “Create Session” Rechten kann beliebige für die PL/SQL
Komponente erreichbare Daten einsehen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0080/

Oracle Critical Patch Update Advisory – January 2015 (CPUJan2015):
http://www.oracle.com/technetwork/topics/security/cpujan2015-1972971.html

Schwachstelle CVE-2014-6514 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6514

Schwachstelle CVE-2014-6541 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6541

Schwachstelle CVE-2014-6567 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6567

Schwachstelle CVE-2014-6577 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6577

Schwachstelle CVE-2014-6578 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6578

Schwachstelle CVE-2015-0370 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0370

Schwachstelle CVE-2015-0371 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0371

Schwachstelle CVE-2015-0373 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0373

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben