DFN-CERT-2016-0105 Oracle Fusion Middleware: Mehrere Schwachstellen erlauben u. a. das Ausführen beliebigen Programmcodes [Linux][Unix][Apple][Solaris][Windows]

DFN-CERT-2016-0105 Oracle Fusion Middleware: Mehrere Schwachstellen erlauben u. a. das Ausführen beliebigen Programmcodes [Linux][Unix][Apple][Solaris][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Oracle Fusion Middleware 3.1.2
Oracle Fusion Middleware 7.3.0.0
Oracle Fusion Middleware 7.4.0.0
Oracle Fusion Middleware 7.5.0.0
Oracle Fusion Middleware 7.6.0.0
Oracle Fusion Middleware 7.6.2
Oracle Fusion Middleware 8.5.0
Oracle Fusion Middleware 8.5.1
Oracle Fusion Middleware 8.5.2
Oracle Fusion Middleware 10.3.6
Oracle Fusion Middleware 11.1.1.7
Oracle Fusion Middleware 11.1.1.7.0
Oracle Fusion Middleware 11.1.1.8.0
Oracle Fusion Middleware 11.1.1.9.0
Oracle Fusion Middleware 11.1.2.2
Oracle Fusion Middleware 12.1.1.0
Oracle Fusion Middleware 12.1.2
Oracle Fusion Middleware 12.1.3
Oracle Fusion Middleware 12.2.1
Oracle Fusion Middleware 12.2.1.0.0

Betroffene Plattformen:

Apple Mac OS X
GNU/Linux
Microsoft Windows
Oracle Solaris

In der Oracle Fusion Middleware befinden sich mehrere Schwachstellen in
verschiedenen Komponenten, u.a. dem WebLogic und dem GlassFish Server. Durch
Ausnutzen dieser Schwachstellen kann auch ein entfernter, nicht
authentifizierter Angreifer beliebigen Programmcode zur Ausführung bringen,
Dateien manipulieren, Sicherheitsvorkehrungen umgehen und Informationen
ausspähen. Ein entfernter, einfach authentifizierter Angreifer oder ein
lokaler, nicht authentifizierter Angreifer kann zusätzlich einen
Denial-of-Service-Angriff ausführen.

Patch:

Oracle Critical Patch Update Advisory – Januar 2016 (CPUJan2016)

http://www.oracle.com/technetwork/topics/security/cpujan2016-2367955.html

CVE-2016-0614: Schwachstelle in Oracle BI Publisher ermöglicht Ausspähen von
Informationen

Es existiert eine Schwachstelle in der Komponente Oracle BI Publisher
(Subkomponente: Security) der Oracle Fusion Middleware. Ein entfernter,
einfach authentifizierter Angreifer kann unautorisierten Zugriff auf einen
Teil der von BI Publisher erreichbaren Daten erhalten.

CVE-2016-0572 CVE-2016-0573 CVE-2016-0574 CVE-2016-0577: Schwachstellen in
Oracle Weblogic Server ermöglichen Ausführen beliebigen Programmcodes mit
den Rechten des Dienstes

Es existieren mehrere Schwachstellen in der Komponente Oracle Weblogic
Server (Subkomponenten: Coherence Container, WLS Java Messaging Service und
WLS Core Components) der Oracle Fusion Middleware. Ein entfernter, nicht
authentifizierter Angreifer kann über verschiedene Verbindungsprotokolle den
Oracle Weblogic Server übernehmen und in der Folge beliebigen Programmcode
mit den Rechten des Dienstes ausführen.

CVE-2016-0470: Schwachstelle in Oracle BI Publisher ermöglicht Manipulation
von Dateien

Es existiert eine Schwachstelle in der Komponente Oracle BI Publisher
(Subkomponente: Security) der Oracle Fusion Middleware. Ein entfernter,
einfach authentifizierter Angreifer erhält lesenden Zugriff auf einen Teil
der von BI Publisher erreichbaren Daten und kann andere erreichbare Daten
verändern oder löschen und neue Daten einfügen.

CVE-2016-0464: Schwachstelle in Oracle Weblogic Server ermöglicht
Manipulation von Dateien

Es existiert eine Schwachstelle in der Komponente Oracle Weblogic Server
(Subkomponente: WLS Console) der Oracle Fusion Middleware. Ein entfernter,
nicht authentifizierter Angreifer kann Teile der vom Oracle Weblogic Server
erreichbaren Daten verändern oder löschen und neue Daten hinzufügen.

CVE-2016-0453: Schwachstelle in Oracle GlassFish Server ermöglicht
Manipulation von Dateien

Es existiert eine Schwachstelle in der Komponente Oracle GlassFish Server
(Subkomponente: Embedded Server) der Oracle Fusion Middleware. Ein nicht
authentifizierter Angreifer aus dem benachbarten Netzwerk kann einen Teil
der vom GlassFish Server erreichbaren Daten verändern oder löschen und neue
Daten einfügen.

CVE-2016-0441: Schwachstelle in Oracle GlassFish Server ermöglicht
Manipulation von Dateien

Es existiert eine Schwachstelle in der Komponente Oracle GlassFish Server
(Subkomponente: Embedded Server) der Oracle Fusion Middleware. Ein
entfernter, einfach authentifizierter Angreifer kann Lese- und
Schreibzugriff auf beliebige Dateien des Betriebssystems erhalten und einen
Denial-of-Service-Zustand des GlassFish-Servers herbeiführen.

CVE-2016-0430 CVE-2016-0433 CVE-2016-0439: Schwachstellen in Oracle Web
Cache ermöglichen Ausspähen von Informationen

Es existieren mehrere Schwachstellen in der Komponente Oracle Web Cache
(Subkomponente: SSL Support) der Oracle Fusion Middleware. Ein entfernter,
nicht authentifizierter Angreifer kann Lesezugriff auf einen Teil der von
Web Cache erreichbaren Daten erhalten und Informationen ausspähen.

CVE-2016-0413: Schwachstelle in Oracle Identity Federation ermöglicht
Manipulation von Dateien

Es existiert eine leicht auszunutzende Schwachstelle in der Komponente
Oracle Identity Federation (Subkomponente: Federation Protocol Support) der
Oracle Fusion Middleware. Ein entfernter, einfach authentifizierter
Angreifer kann alle von Oracle Identity Federation erreichbaren Daten
verändern oder löschen und neue Daten einfügen.

CVE-2016-0404: Schwachstelle in Oracle Identity Federation ermöglicht
Manipulation von Dateien

Es existiert eine Schwachstelle in der Komponente Oracle Identity Federation
(Subkomponente: Admin) der Oracle Fusion Middleware. Ein entfernter, nicht
authentifizierter Angreifer kann einige der von Oracle Identity Federation
erreichbaren Daten verändern oder löschen und neue Daten einfügen.

CVE-2016-0401 CVE-2016-0429: Schwachstellen in Oracle BI Publisher
ermöglichen Manipulation von Dateien

Es existieren zwei Schwachstellen in der Komponente Oracle BI Publisher
(Subkomponente: Scheduler) der Oracle Fusion Middleware. Ein entfernter,
nicht authentifizierter Angreifer kann einen Teil der von Oracle BI
Publisher erreichbaren Daten verändern oder löschen und neue Daten einfügen.

CVE-2015-4808 CVE-2015-6013 CVE-2015-6014 CVE-2015-6015 CVE-2016-0432:
Schwachstellen in Oracle Outside In Technology ermöglichen
Denial-of-Service-Angriff

Es existieren mehrere nicht näher beschriebene Schwachstellen in der
Komponente Outside In Technology der Oracle Fusion Middleware (Subkomponente
Outside In Filters), die ein lokaler, nicht authentifizierter Angreifer
ausnutzen kann, um einen partiellen Denial-of-Service-Zustand von Oracle
Outside In Technology zu erreichen. Der Angreifer muss dazu am
Betriebssystem angemeldet sein.

CVE-2015-1793: Schwachstelle in OpenSSL erlaubt Umgehen von
Sicherheitsvorkehrungen

Eine Schwachstelle in OpenSSL 1.0.1n und 1.0.2b tritt bei der Überprüfung
von Zertifikatsketten auf. Wenn der erste Versuch eine Kette aufzubauen
scheitert, wird versucht eine alternative Kette zu finden. Ein Fehler in der
Implementierung der betreffend Logik kann dazu führen, dass bestimmte
Prüfungen auf nicht vertrauenswürdige Zertifikate dabei übergangen werden
können, z.B. die Überprüfung des CA Flags. Dadurch ist es möglich, ein
gültiges End-Entitiy-Zertifikat (“leaf certificate”), für welches das CA
Flag “false” gesetzt ist, dennoch als CA zu verwenden, um ein ungültiges
Zertifikat auszustellen. Diese Schwachstelle betrifft alle Anwendungen, die
Zertifikate verifizieren, inklusive SSL/TLS/DTLS-Clients und
SSL/TLS/DTLS-Server, die Client-Authentication verwenden.

Im Zusammenhang mit MySQL Server kann diese Schwachstelle ausgenutzt werden,
um Dateien zu manipulieren oder Informationen auszuspähen, auf die der MySQL
Server zugreifen kann.

Im Zusammenhang mit Switches und Bladeservern aus der Reihe Oracle Sun
Systems Products Suite kann diese Schwachstelle ausgenutzt werden, um
Dateien zu manipulieren oder Informationen auszuspähen, auf die die Switches
oder Bladeserver zugreifen können.

CVE-2014-0107: Schwachstelle in Xalan-Java ermöglicht Ausführen beliebigen
Programmcodes

Es besteht eine Schwachstelle im “FEATURE_SECURE_PROCESSING” der
“TransformerFactory” innerhalb der Ausgabeeinstellungen. Ein entfernter,
nicht authentifizierter Angreifer kann durch die Angabe einer externen
Referenz beliebigen Programmcode zur Ausführung bringen.

CVE-2013-2186: Schwachstelle in Apache Commons ermöglicht Ausführung
beliebigen Programmcodes

In der Implementierung der DiskFileItem-Klasse in Apache Commons
‘fileupload’ existiert bei der Deserialisierung einer Instanz eine
Schwachstelle. Wird eine serialisierte Instanz der DiskFileItem-Klasse an
einen verwundbaren Server gesendet, werden die Daten mit den Rechten des
Servers in das Dateisystem geschrieben. Diese Schwachstelle ermöglicht einem
entfernten, nicht authentifizierten Angreifer beliebige Daten mit den
Rechten des Servers auf das Dateisystem zu schreiben. Hierdurch kann ggf.
beliebiger Programmcode zur Ausführung gebracht werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0105/

Schwachstelle CVE-2013-2186 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-2186

Schwachstelle CVE-2014-0107 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0107

Schwachstelle CVE-2015-1793 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1793

Oracle Critical Patch Update Advisory – Januar 2016 (CPUJan2016):
http://www.oracle.com/technetwork/topics/security/cpujan2016-2367955.html

Schwachstelle CVE-2015-4808 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4808

Schwachstelle CVE-2015-6013 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6013

Schwachstelle CVE-2015-6014 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6014

Schwachstelle CVE-2015-6015 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6015

Schwachstelle CVE-2016-0401 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0401

Schwachstelle CVE-2016-0404 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0404

Schwachstelle CVE-2016-0413 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0413

Schwachstelle CVE-2016-0429 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0429

Schwachstelle CVE-2016-0430 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0430

Schwachstelle CVE-2016-0432 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0432

Schwachstelle CVE-2016-0433 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0433

Schwachstelle CVE-2016-0439 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0439

Schwachstelle CVE-2016-0441 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0441

Schwachstelle CVE-2016-0453 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0453

Schwachstelle CVE-2016-0464 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0464

Schwachstelle CVE-2016-0470 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0470

Schwachstelle CVE-2016-0572 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0572

Schwachstelle CVE-2016-0573 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0573

Schwachstelle CVE-2016-0574 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0574

Schwachstelle CVE-2016-0577 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0577

Schwachstelle CVE-2016-0614 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0614

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben