Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Oracle Application Express (APEX) < 5.0 Oracle Database Server <= 12.1.0.2 Betroffene Plattformen: Oracle Solaris GNU/Linux Microsoft Windows Mehrere Schwachstellen im Oracle Datenbankserver können von einem entfernten, i.d.R. authentifizierten Angreifer ausgenutzt werden, um Daten einzusehen, zu ändern oder zu löschen, beliebigen Programmcode mit den Rechten des Datenbankservers auszuführen oder für einzelne Komponenten einen Denial-of-Service-Zustand zu bewirken. Patch: Oracle Critical Patch Update Juli 2015 http://www.oracle.com/technetwork/topics/security/cpujul2015-2367936.html
CVE-2015-4755: Schwachstelle in der RDBMS-Security-Komponente des Oracle
Datenbankservers ermöglicht Ausspähen von Daten
In der RDBMS-Security-Komponente des Oracle Datenbankservers befindet sich
eine nicht näher beschriebene Schwachstelle.
Ein entfernter, nicht authentifizierter Angreifer kann die Schwachstelle
dazu ausnutzen einen Teil der für die RDBMS-Security-Komponente zugänglichen
Daten einzusehen.
CVE-2015-4753: Schwachstelle in den RDBMS Support Tools des Oracle
Datenbankservers
In den RDBMS Support Tools des Oracle Datenbankservers befindet sich eine
nicht näher beschriebene Schwachstelle. Ein lokaler, nicht authentifizierter
Angreifer kann die Schwachstelle dazu ausnutzen, beliebige Daten einzusehen,
auf die die Support Tools Zugriff haben.
CVE-2015-4740: Schwachstelle in der RDBMS-Partitioning-Komponente des Oracle
Datenbankservers
In der RDBMS-Partitioning-Komponente des Oracle Datenbankservers befindet
sich eine nicht näher beschriebene Schwachstelle. Ein entfernter, mit
“Create Session”-, “Create Any Index”- und “Index Object”-Privilegien
eingeloggter Angreifer kann die Schwachstelle dazu ausnutzen, beliebigen
Programmcode mit den Rechten der RDBMS-Partitioning-Komponente auszuführen.
CVE-2015-2655: Schwachstelle in der Application Express Komponente des
Oracle Datenbankservers ermöglicht Datenmanipulation
In der Application Express Komponente des Oracle Datenbankservers befindet
sich eine nicht näher beschriebene Schwachstelle.
Ein entfernter, eingeloggter Angreifer kann die Schwachstelle dazu
ausnutzen, Daten einzusehen, zu löschen oder zu ändern, auf welche die
Komponente Zugriff hat.
CVE-2015-2629: Schwachstelle in der Java VM-Komponente des Oracle
Datenbankservers
In der Java VM-Komponente des Oracle Datenbankservers befindet sich eine
nicht näher beschriebene Schwachstelle. Ein entfernter, mit “Create
Session”-Privilegien eingeloggter Angreifer kann die Schwachstelle dazu
ausnutzen, beliebigen Programmcode auf dem Datenbankserver auszuführen.
CVE-2015-2599: Schwachstelle in der RDBMS-Scheduler-Komponente des Oracle
Datenbankservers ermöglicht Ausspähen von Informationen
In der RDBMS-Scheduler-Komponente des Oracle Datenbankservers befindet sich
eine nicht näher beschriebene Schwachstelle. Ein entfernter, am Server
eingeloggter Angreifer kann die Schwachstelle dazu ausnutzen, Daten
einzusehen, auf die der RDBMS-Scheduler Zugriff hat.
CVE-2015-2595: Schwachstelle in der OLAP-Komponente des Oracle
Datenbankservers ermöglich Programmcodeausführung
In der OLAP (Online Analytical Processing)-Komponente des Oracle
Datenbankservers befindet sich eine nicht näher beschriebene Schwachstelle.
Ein entfernter, mit “Create Session”-Privilegien eingeloggter Angreifer kann
die Schwachstelle dazu ausnutzen, beliebigen Programmcode mit den Rechten
der OLAP-Komponente auszuführen.
CVE-2015-2586: DoS-Schwachstelle in der Application Express Komponente des
Oracle Datenbankservers
In der Application Express Komponente des Oracle Datenbankservers befindet
sich eine nicht näher beschriebene Schwachstelle. Ein entfernter, nicht
authentifizierter Angreifer kann die Schwachstelle dazu ausnutzen, einen
Denial-of-Service-Angriff gegen die Komponente durchzuführen.
CVE-2015-2585: DoS-Schwachstelle in der Application Express Komponente des
Oracle Datenbankservers
In der Application Express Komponente des Oracle Datenbankservers befindet
sich eine nicht näher beschriebene Schwachstelle. Ein entfernter,
eingeloggter Angreifer kann die Schwachstelle dazu ausnutzen, einen
Denial-of-Service-Angriff gegen die Application Express Komponente
durchzuführen.
CVE-2015-0468: Schwachstelle im Oracle Datenbankserver ermöglicht
Programmcodeausführung
Im RDBMS-Kern des Oracle Datenbankservers befindet sich eine nicht näher
beschriebene Schwachstelle. Ein entfernter, mit “Analyze Any”- oder “Create
Materialized View”-Privilegien eingeloggter, Angreifer kann die
Schwachstelle dazu ausnutzen, beliebigen Code mit den Rechten des
Datenbankservers auszuführen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1066/
Oracle Critical Patch Update Juli 2015:
http://www.oracle.com/technetwork/topics/security/cpujul2015-2367936.html
Schwachstelle CVE-2015-0468 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0468
Schwachstelle CVE-2015-2585 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2585
Schwachstelle CVE-2015-2586 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2586
Schwachstelle CVE-2015-2595 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2595
Schwachstelle CVE-2015-2599 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2599
Schwachstelle CVE-2015-2629 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2629
Schwachstelle CVE-2015-2655 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2655
Schwachstelle CVE-2015-4740 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4740
Schwachstelle CVE-2015-4753 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4753
Schwachstelle CVE-2015-4755 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4755
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
