DFN-CERT-2015-1075 Oracle Fusion Middleware: Mehrere Schwachstellen ermöglichen verschiedene Angriffe [Linux][Unix][Apple][Solaris][Windows]

DFN-CERT-2015-1075 Oracle Fusion Middleware: Mehrere Schwachstellen ermöglichen verschiedene Angriffe [Linux][Unix][Apple][Solaris][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Oracle Fusion Middleware <= 12.2.1.0 Oracle Glassfish Server 2.1.1 Oracle Glassfish Server 3.0.1 Oracle Glassfish Server 3.1.2 Oracle iPlanet Web Proxy Server 4.0 Oracle iPlanet Web Server 6.1 Oracle iPlanet Web Server 7.0 Oracle OpenSSO 3.0-05 Tuxedo 12.1.1.0 Tuxedo SALT 10.3 Tuxedo SALT 11.1.1.2.2 Oracle Weblogic Server 10.3.6.0 Oracle Weblogic Server 12.1.1.0 Oracle Weblogic Server 12.1.2.0 Oracle Weblogic Server 12.1.3.0 Betroffene Plattformen: Apple Mac OS X GNU/Linux Microsoft Windows Oracle Solaris In einer Reihe von Komponenten und Bibliotheken der Oracle Fusion Middleware sind mehrere Schwachstellen vorhanden, die zumeist von einem entfernten, nicht authentifizierten Angreifer ausgenutzt werden können. Die Schwachstellen ermöglichen das Ausspähen und Manipulieren von Daten, Umgehen von Sicherheitsvorkehrungen, Ausführen beliebigen Programmcodes und das Durchführen von Denial-of-Service-Angriffen. Die Schwachstellen beziehen sich auf unterschiedliche Versionen der Komponenten und Fusion Middleware und sind zusätzlich abhängig von der eingesetzten Oracle Datenbankversion. Für die Oracle Datenbank wurden ebenfalls Sicherheitsupdates erstellt, die zugehörigen Schwachstellen sind hier nicht aufgeführt. Patch: Oracle Critical Patch Update Juli 2015 http://www.oracle.com/technetwork/topics/security/cpujul2015-2367936.html

CVE-2015-4759 CVE-2015-4758 CVE-2015-2634 CVE-2015-2635 CVE-2015-2636:
Mehrere Schwachstellen in Oracle Fusion Middleware Data Integrator

Mehrere schwer ausnutzbare Schwachstellen in der Subkomponente Data Quality
in der Komponente Data Integrator der Oracle Fusion Middleware ermöglichen
einem entfernten, nicht authentifizierten Angreifer über HTTP Protokoll,
unautorisiert Lese- und Schreibzugriff auf ein Subset von Daten zu erlangen,
die für Oracle Data Integrator zugänglich sind, oder einen partiellen
Denial-of-Service-Zustand des Oracle Data Integrators auszulösen.

CVE-2015-4751: DoS-Schwachstelle im Oracle Access Manager

In der Authentication Engine Subkomponente des Oracle Access Manager
Komponente der Oracle Fusion Middleware befindet sich eine nicht näher
beschriebene Schwachstelle. Ein am System eingeloggter, entfernter Angreifer
kann die Schwachstelle dazu ausnutzen, einen-Denial-of-Service-Angriff gegen
das System auszuführen.

CVE-2015-4747: Schwachstelle in der Oracle Fusion Middleware erlaubt
Manipulation von Daten

In der CEP System Subkomponente der Oracle Event Processing Komponente der
Oracle Fusion Middleware befindet sich eine nicht näher beschriebene
Schwachstelle. Ein entfernter, nicht authentifizierter Angreifer kann die
Schwachstelle dazu ausnutzen, Daten des Oracle Event Processing auszulesen,
zu ändern, löschen oder hinzuzufügen.

CVE-2015-4744: Schwachstelle im Oracle GlassFish Server und WebLogic Server

In der Java Server Faces Subkomponente des Oracle GlassFish Servers und des
WebLogic Servers, die Teil der Oracle Fusion Middleware sind, befindet sich
eine nicht näher beschriebene Schwachstelle. Ein entfernter, nicht
authentifizierter Angreifer kann die Schwachstelle dazu ausnutzen, Daten des
GlassFish bzw. WebLogic Servers zu ändern, zu löschen oder hinzuzufügen.

CVE-2015-4742: DoS-Schwachstelle in Oracle JDeveloper

In der ADF Faces Subkomponente des Oracle JDeveloper, Teil der Oracle Fusion
Middleware, befindet sich eine nicht näher beschriebene Schwachstelle. Ein
entfernter, nicht authentifizierter Angreifer kann die Schwachstelle zu
einem Denial-of-Service-Angriff ausnutzen.

CVE-2015-2658: Schwachstelle im Oracle Web Cache ermöglicht Ausspähen von
Daten

Im SSL/TLS Support des Oracle Web Cache, Teil der Oracle Fusion Middleware,
befindet sich eine nicht näher beschriebene Schwachstelle. Ein entfernter,
nicht authentisierter Angreifer kann die Schwachstelle dazu ausnutzen, Daten
des Web Cache auszulesen.

CVE-2015-2623: Schwachstelle im Oracle GlassFish Server und WebLogic Server

In der Java Server Faces Subkomponente des Oracle GlassFish Servers und des
Oracle WebLogic Server, die Teil der Oracle Fusion Middleware sind, befindet
sich eine nicht näher beschriebene Schwachstelle. Ein entfernter, nicht
authentifizierter Angreifer kann die Schwachstelle dazu ausnutzen, Daten des
GlassFish bzw. WebLogic Servers zu ändern, zu löschen oder hinzuzufügen.

CVE-2015-2602 CVE-2015-2603 CVE-2015-2604 CVE-2015-2605 CVE-2015-2606
CVE-2015-4745: Schwachstellen in Oracle Endeca Information Discovery Studio

In der Integrator Subkomponente der Oracle Endeca Information Discovery
Studio Komponente der Oracle Fusion Middleware befinden sich mehrere nicht
näher beschriebene Schwachstellen. Ein entfernter, nicht authentifizierter
Angreifer kann die Schwachstellen dazu ausnutzen, Daten der Endeca
Information Discovery Studio Komponente einzusehen, zu ändern, löschen oder
hinzuzufügen. Ferner sind Denial-of-Service-Angriffe gegen die Komponente
möglich.

CVE-2015-2598: Schwachstelle in Oracle Business Intelligence Enterprise
Edition

In der iPad Subkomponente der Oracle Business Intelligence Enterprise
Edition, welche Teil der Oracle Fusion Middleware ist, befindet sich eine
nicht näher beschriebene Schwachstelle.

Ein eingeloggter Angreifer kann über das Netz der Oracle Business
Intelligence Enterprise Edition zugängliche Daten ändern, löschen oder neu
hinzufügen.

CVE-2015-2593: Schwachstelle im Oracle Access Manager

In der Configuration Service Subkomponente des Oracle Access Manager
Komponente der Oracle Fusion Middleware befindet sich eine nicht näher
beschriebene Schwachstelle.

Ein am System eingeloggter Angreifer kann die Schwachstelle dazu ausnutzen,
beliebige Dateien des Betriebssystems zu überschreiben oder auszulesen.

CVE-2015-1926: Schwachstelle im Oracle WebCenter Portal

In der Portlet Services Subkomponente der Oracle WebCenter Portal Komponente
der Oracle Fusion Middleware befindet sich eine nicht näher beschriebene
Schwachstelle.

Ein entfernter, am System eingeloggter Angreifer kann die Schwachstelle dazu
ausnutzen, Daten des WebCenter Portals zu ändern, zu löschen oder
hinzuzufügen, sowie Daten auszulesen.

CVE-2015-0443 CVE-2015-0444 CVE-2015-0445 CVE-2015-0446: Mehrere
Schwachstellen in Oracle Fusion Middleware Data Integrator

Mehrere schwer ausnutzbare Schwachstellen in der Subkomponente Data Quality
in der Komponente Data Integrator von Oracle Fusion Middleware ermöglichen
einem entfernten, nicht authentifizierten Angreifer über HTTP Protokoll,
unautorisiert Lese- und Schreibzugriff auf ein Subset von Daten zu erlangen,
die für Oracle Data Integrator zugänglich sind, oder einen partiellen
Denial-of-Service-Zustand des Oracle Data Integrators auszulösen.

CVE-2015-0286: Segmentierungsfehler-Schwachstelle ASN1_TYPE_cmp erlaubt
Denial-of-Service-Angriff

Eine Schwachstelle in ASN1_TYPE_cmp führt zu einem Absturz aufgrund
ungültigen Lesens (“invalid read”), wenn ASN.1 Boolean-Typen bei der
Validierung von Zertifikaten verglichen werden sollen. Ein entfernter, nicht
authentisierter Angreifer kann diese Schwachstelle ausnutzen, um
Denial-of-Service (DoS)-Angriffe gegen Anwendungen, OpenSSL Clients und
Server, die Client Authentication aktiviert haben, durchzuführen.

CVE-2014-3571: Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

OpenSSL bevor 0.9.8zd, 1.0.0 bevor 1.0.0p sowie 1.0.1 bevor 1.0.1k erlaubt
einem entfernten, nicht authentifizierten Angreifer, mittels einer
präparierten DTLS-Nachricht, welche mit verschiedenen Leseoperationen für
den Handshake-Header und den Handshake-Body verarbeitet wird, in Verbindung
mit den Funktionen “dtls1_get_record” und “ssl3_read_n” in s3_pkt.c, einen
Denial-of-Service (DoS)-Zustand herbeizuführen (NULL pointer Dereference und
Absturz der Applikation).

CVE-2014-1569: Schwachstelle in Mozilla Network Security Service

Die definite_length_decoder Funktion in lib/util/quickder.c von Mozilla
Network Security Services überprüft die Länge von ASN.1 Objekten in DER
Codierung nicht ausreichend. Ein entfernter, nicht authentifizierter
Angreifer kann dies ausnutzen, in dem er eine lange Byte-Folge für eine DER
Codierung sendet und beliebige Daten darin einschmuggelt. Dies wird
beispielsweise demonstriert durch die inkorrekte Bearbeitung der Codierung
einer beliebigen Länge 0x00 durch die SEC_QuickDERDecodeItem Funktion. Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, um bestimmte Sicherheitsvorkehrungen zu umgehen oder eventuell um
beliebigen Programmcode mit den Rechten des Dienstes auszuführen.

CVE-2014-7809: Schwachstelle in Apache Struts ermöglicht
Cross-Site-Request-Forgery-Angriff

Eine Schwachstelle in Apache Struts bezüglich Token, die in Formularen
verwendet werden, führt dazu, dass sich aus einem bekannten Token der Wert
des nächsten Token, der für eine sichere Übermittlung eines Formulares
verwendet wird, voraussagen lässt. Dadurch lässt sich ein Formular fälschen.

CVE-2014-3567: Schwachstelle in der Speicherverwaltung von OpenSSL
ermöglicht DoS-Angriffe

Ein mit OpenSSL geschützter Server gibt Speicher nicht wieder frei, wenn die
Integritätsprüfung eines empfangenen Sitzungstickets fehlschlägt. Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, um einen Denial-of-Service-Zustand herbeizuführen, indem er eine
große Anzahl von ungültigen Sitzungstickets an den Server sendet.

CVE-2014-3566: POODLE: SSL 3.0 Protokoll, wie z.B. in OpenSSL verwendet,
ermöglicht das Ausspähen von Informationen

Das SSL 3.0 Protokoll, so wie es u.a. von OpenSSL bis Version 1.0.1i
implementiert wird, benutzt nicht deterministisches “Padding”. Padding ist
das Auffüllen der Nachricht mit Bytes bis zur nächsten vollen Blockgrenze
für Kryptoalgorithmen im CBC-Modus (Cipher-Block-Chaining). Dieses Padding
wird nicht durch den MAC (Message Authentication Code), d.h. eine
kryptografische Prüfsumme, überprüft. Der Empfänger von verschlüsselten
Nachrichten kann also die Integrität des Paddings nicht vollständig
überprüfen. Diese Schwäche des SSL 3.0 Protokolls kann von einem entfernten,
nicht authentifizierten Angreifer in einem Man-in-the-middle-Angriff
ausgenutzt werden, um Teile der Nachricht im Klartext zu erhalten, indem er
das Padding entsprechend modifiziert (Padding-Oracle-Angriff). Diese
Protokollschwäche wurde von seinen Entdeckern “POODLE” getauft.

CVE-2014-1568: Schwachstelle in Mozilla Network Security Services ermöglicht
das Umgehen von Sicherheitsvorkehrungen

Es existiert eine Schwachstelle in der Network Security Services (NSS)
Bibliothek, die das Fälschen von RSA-Zertifikaten ermöglicht. Die
Schwachstelle ist auf das zu wenig restriktive Parsen der ASN.1-Werte
zurückzuführen. Ein entfernter, nicht authentifizierter Angreifer kann
darüber Sicherheitsvorkehrungen umgehen und Informationen ausspähen.

CVE-2013-2186: Schwachstelle in DiskFileItem-Klasse

In der Implementierung der DiskFileItem-Klasse des Apache
“commons-fileupload” existiert bei der Deserialisierung einer Instanz eine
Schwachstelle. Wird eine serialisierte Instanz der DiskFileItem-Klasse an
einen verwundbaren Server gesendet, werden die Daten mit den Rechten des
Servers in das Dateisystem geschrieben. Diese Schwachstelle ermöglicht einem
entfernten, nicht authentifizierten Angreifer beliebige Daten mit den
Rechten des Servers auf das Dateisystem zu schreiben. Hierdurch kann ggf.
beliebiger Code zur Ausführung gebracht werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1075/

Schwachstelle CVE-2013-2186 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-2186

Schwachstelle CVE-2014-1568 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1568

Schwachstelle CVE-2014-3566 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3566

Schwachstelle CVE-2014-3567 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3567

Schwachstelle CVE-2014-7809 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7809

Schwachstelle CVE-2014-1569 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1569

Schwachstelle CVE-2014-3571 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3571

Schwachstelle CVE-2015-0286 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0286

Oracle Critical Patch Update Juli 2015:
http://www.oracle.com/technetwork/topics/security/cpujul2015-2367936.html

Schwachstelle CVE-2015-0443 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0443

Schwachstelle CVE-2015-0444 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0444

Schwachstelle CVE-2015-0445 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0445

Schwachstelle CVE-2015-0446 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0446

Schwachstelle CVE-2015-1926 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1926

Schwachstelle CVE-2015-2593 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2593

Schwachstelle CVE-2015-2598 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2598

Schwachstelle CVE-2015-2602 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2602

Schwachstelle CVE-2015-2603 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2603

Schwachstelle CVE-2015-2604 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2604

Schwachstelle CVE-2015-2605 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2605

Schwachstelle CVE-2015-2606 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2606

Schwachstelle CVE-2015-2623 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2623

Schwachstelle CVE-2015-2634 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2634

Schwachstelle CVE-2015-2635 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2635

Schwachstelle CVE-2015-2636 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2636

Schwachstelle CVE-2015-2658 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2658

Schwachstelle CVE-2015-4742 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4742

Schwachstelle CVE-2015-4744 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4744

Schwachstelle CVE-2015-4745 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4745

Schwachstelle CVE-2015-4747 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4747

Schwachstelle CVE-2015-4751 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4751

Schwachstelle CVE-2015-4758 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4758

Schwachstelle CVE-2015-4759 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4759

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben