DFN-CERT-2016-0638 Oracle Fusion Middleware: Mehrere Schwachstellen erlauben u. a. das Ausführen beliebigen Programmcodes [Linux][Unix][Apple][Solaris][Windows]

DFN-CERT-2016-0638 Oracle Fusion Middleware: Mehrere Schwachstellen erlauben u. a. das Ausführen beliebigen Programmcodes [Linux][Unix][Apple][Solaris][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Oracle Fusion Middleware 10.3.6
Oracle Fusion Middleware 11.1.1.7.0
Oracle Fusion Middleware 11.1.1.8.0
Oracle Fusion Middleware 11.1.1.9.0
Oracle Fusion Middleware 12.1.2
Oracle Fusion Middleware 12.1.2.0
Oracle Fusion Middleware 12.1.3
Oracle Fusion Middleware 12.1.3.0.0
Oracle Fusion Middleware 12.2.1
Oracle Fusion Middleware 12.2.1.0.0
Oracle Glassfish Server 2.1.1
Oracle iPlanet Web Proxy Server 4.0
Oracle iPlanet Web Server 7.0
Oracle OpenSSO 3.0-0.7
Oracle Outside In Technology 8.5.0
Oracle Outside In Technology 8.5.1
Oracle Outside In Technology 8.5.2

Betroffene Plattformen:

Oracle Exalogic Elastic Cloud 1.x
Oracle Exalogic Elastic Cloud 2.x
Apple Mac OS X
GNU/Linux
Microsoft Windows
Oracle Solaris

In der Oracle Fusion Middleware befinden sich mehrere Schwachstellen in
verschiedenen Komponenten, u.a. im WebLogic-, GlassFish-, iPlanet Web- und
iPlanet Web Proxy Server. Durch Ausnutzen dieser Schwachstellen kann ein
entfernter, nicht authentifizierter Angreifer beliebigen Programmcode zur
Ausführung bringen, Dateien manipulieren, Informationen ausspähen und
Denial-of-Service-Angriffe durchführen.

Die OpenSSL-Schwachstellen CVE-2015-3195 und CVE-2015-3197 werden von Oracle
referenziert. Details zu den Auswirkungen auf Oracle-Produkte finden sich in
den Schwachstellenbeschreibungen sowie im referenzierten Oracle
Sicherheitshinweis.

Die Schwachstelle CVE-2015-7182 in Mozilla Network Security Services (NSS)
ermöglicht einem entfernten, nicht authentifizierten Angreifer die komplette
Kompromittierung von Oracle GlassFish Server, Oracle OpenSSO, Oracle iPlanet
Web Server und Oracle iPlanet Web Proxy Server.

Die Schwachstelle CVE-2015-7547 in GNU Lib C ermöglicht einem entfernten,
nicht authentifizierten Angreifer die komplette Kompromittierung der Oracle
Exalogic Infrastructure.

Oracle stellt die entsprechenden Sicherheitsupdates zur Verfügung und weist
darauf hin, dass in der Oracle Fusion Middleware die Oracle
Database-Komponenten enthalten sind, für die seperate Sicherheitshinweise
veröffentlicht wurden. Oracle empfiehlt dringend, auch die Oracle
Database-Komponenten zu aktualisieren.

Patch:

Oracle Critical Patch Update Advisory – April 2016 (CPUApr2016)

http://www.oracle.com/technetwork/topics/security/cpuapr2016-2881694.html

Patch:

Oracle Critical Patch Update Advisory – April 2016 – Oracle Database Server

http://www.oracle.com/technetwork/security-advisory/cpuapr2016v3-2985753.html#AppendixDB

CVE-2016-3455: Schwachstelle in Oracle Outside In Technology ermöglicht u.a.
Manipulation von Dateien

Es existiert eine nicht näher genannte Schwachstelle in der Oracle Fusion
Middleware Komponente Outside In Technology. Ein entfernter, nicht
authentifizierter Angreifer kann durch das Ausnutzen der Schwachstelle
Lesezugriff auf Dateien in beliebigen Dateipfaden des Betriebssystems
erhalten und darüber hinaus diese auch ändern, löschen oder neue Dateien
hinzufügen. Außerdem besteht die Möglichkeit die Schwachstelle für einen
partiellen Denial-of-Service-Angriff (DoS-Angriff) auszunutzen.

CVE-2016-3416: Schwachstelle in Oracle WebLogic Server ermöglicht u.a.
Manipulation von Dateien

Es existiert eine nicht näher genannte Schwachstelle in der Oracle Fusion
Middleware Komponente Oracle WebLogic Server, die Angriffe über
HTTP-Anfragen ermöglicht. Ein entfernter, nicht authentifizierter Angreifer
kann diese Schwachstelle ausnutzen, um einen Teil der über den Oracle
WebLogic Server erreichbaren Dateien zu verändern, zu löschen oder neue
Dateien hinzuzufügen sowie weitere erreichbare Dateien einzusehen.

CVE-2016-0696: Schwachstelle in Oracle WebLogic Server ermöglicht u.a.
Manipulation von Dateien

Es existiert eine nicht näher spezifizierte Schwachstelle in der Oracle
Fusion Middleware Komponente Oracle WebLogic Server, die Angriffe über HTTP
ermöglicht. Ein entfernter, nicht authentifizierter Angreifer kann diese
Schwachstelle ausnutzen, um einen Teil der über den Oracle WebLogic Server
erreichbaren Dateien zu verändern, zu löschen oder neue Dateien hinzuzufügen
sowie weitere erreichbare Dateien einzusehen.

CVE-2016-0688: Schwachstelle in Oracle WebLogic Server ermöglicht
Manipulation von Dateien

Es existiert eine nicht näher spezifizerte Schwachstelle in der Oracle
Fusion Middleware Komponente Oracle WebLogic Server, die Angriffe über
HTTP-Anfragen ermöglicht. Ein entfernter, nicht authentifizierter Angreifer
kann diese Schwachstelle ausnutzen, um Dateien zu verändern, zu löschen oder
neue Dateien hinzuzufügen.

CVE-2016-0675 CVE-2016-0700: Schwachstellen in Oracle WebLogic Server
ermöglichen u.a. Manipulation von Dateien

Es existieren zwei nicht näher spezifizierte Schwachstellen in der Konsole
der Oracle Fusion Middleware-Komponente Oracle WebLogic Server, die Angriffe
über HTTP-Anfragen ermöglichen. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstellen ausnutzen, um einen Teil der über den
Oracle WebLogic Server erreichbaren Dateien zu verändern, zu löschen oder
neue Dateien hinzuzufügen sowie weitere erreichbare Dateien einzusehen.

CVE-2016-0671: Schwachstelle in Oracle HTTP Server ermöglicht Ausspähen von
Informationen

Es existiert eine nicht näher beschriebene Schwachstelle im OSSL-Modul der
Oracle Fusion Middleware-Komponente HTTP Server, die Angriffe über
HTTPS-Anfragen ermöglicht. Ein entfernter, nicht authentisierter Angreifer
kann die Schwachstelle ausnutzen und Dateien einsehen, welche über den
Oracle HTTP Server erreichbar sind.

CVE-2016-0638: Schwachstelle in Oracle WebLogic Server ermöglicht Ausführen
beliebigen Programmcodes

Es existiert eine nicht näher beschriebene Schwachstelle in der Oracle
Fusion Middleware Komponente Oracle WebLogic Server, die Angriffe über den
Java Messaging Service ermöglicht. Ein entfernter, nicht authentifizierter
Angreifer kann dadurch den Oracle Web Server übernehmen und möglicherweise
beliebigen Programmcode zur Ausführung bringen.

CVE-2016-0479: Schwachstelle in Oracle Business Intelligence ermöglicht u.a.
Manipulation von Dateien

Es existiert eine nicht näher spezifizierte Schwachstelle in der Oracle
Fusion Middleware Komponente Oracle Business Intelligence, die über
HTTP-Anfragen ausnutzbar ist. Ein entfernter, einfach authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, um einige Dateien im Kontext
von Oracle Business Intelligence zu verändern, zu löschen oder neue Dateien
hinzuzufügen. Darüber hinaus kann der Angreifer Lesezugriff auf weitere
Daten erhalten.

CVE-2016-0468: Schwachstelle in Oracle Business Intelligence ermöglicht
Manipulation von Dateien

Es existiert eine nicht näher spezifizierte Schwachstelle in der Oracle
Fusion Middleware Komponente Oracle Business Intelligence, die über
HTTP-Anfragen ausnutzbar ist. Ein entfernter, einfach authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, um einige Dateien im Kontext
von Oracle Business Intelligence zu verändern, zu löschen oder neue Dateien
hinzuzufügen.

CVE-2015-7547: Schwachstelle in GNU Lib C ermöglicht u.a. das Ausführen
beliebigen Programmcodes mit Benutzerrechten

Es existiert eine Pufferspeicherüberlauf-Schwachstelle im NSS-Modul in GNU
Lib C beim Aufruf der Funktion getaddrinfo() mit der Option AF_UNSPEC. Bei
der daraus resultierenden parallelen Aussendung des A- und
AAAA-Record-Requests, kann es durch eine fehlerhafte Speicherbehandlung beim
Erhalt der DNS-Antwort zu einer Schreiboperation außerhalb des Puffers
kommen (Out-of-Bounds). Ein Angreifer der diese Schwachstelle ausnutzt, kann
durch das Versenden einer speziell präparierten DNS-Antwort ein System in
einen Denial-of-Service-Zustand versetzen oder womöglich auch beliebigen
Programmcode mit den Rechten des Benutzers ausführen.

CVE-2015-3197: Schwachstelle in OpenSSL ermöglicht Ausspähen von
Informationen

Eine Schwachstelle in OpenSSL ermöglicht einem bösartigen Client die
Verhandlung von SSLv2-Chiffren, obwohl diese auf dem Server abgeschaltet
wurden, und die Vollendung der SSLv2-Protokolleinleitung, selbst bei
Abschaltung der SSLv2-Chiffren, solange das SSLv2-Protokoll nicht über
SSL_OP_NO_SSLv2 ebenfalls abgeschaltet wurde. Ein entfernter, nicht
authentisierter Angreifer in einer Man-in-the-Middle-Position kann
Sicherheitsvorkehrungen umgehen.

Oracle nennt diese Schwachstelle im Zusammenhang mit verschiedenen eigenen
Produkten und gibt an, dass die Schwachstelle in diesen für den unerlaubten
Lesezugriff auf über die betroffenen Oracle Produkte erreichbare Dateien
verwendet werden kann.

CVE-2015-3195: Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

In OpenSSL existiert eine Schwachstelle bei der Verarbeitung von fehlerhaft
gebildeten X509_ATTRIBUTE Strukturen, wodurch es zu einem Speicherleck
(memory leak) kommt. Derartige Strukturen werden von den PKCS#7 und CMS
Routinen verwendet und somit sind alle Anwendungen davon betroffen, die
PKCS#7 oder CMS Daten aus nicht vertrauenswürdigen Quellen lesen. SSL/TLS
ist nicht betroffen. Ein entfernter, nicht authentisierter Angreifer kann
diese Schwachstelle ausnutzen, um CMS Daten oder andere sensible
Informationen auszuspähen. Diese Schwachstelle betrifft OpenSSL Versionen
1.0.2 und 1.0.1, 1.0.0 und 0.9.8.

Oracle nennt diese Schwachstelle in Zusammenhang mit verschiedenen eigenen
Produkten, wie beispielsweise den Oracle Fusion Middleware Komponenten ‘API
Gateway’ und ‘Exalogic Infrastructure’ sowie Oracle Virtualization und gibt
an, dass bei diesen eine Verwundbarkeit gegenüber
Denial-of-Service-Angriffen besteht.

CVE-2015-7182: Pufferüberlauf-Schwachstelle in Network Security Services
ermöglicht Ausführen beliebigen Programmcodes

Es existiert eine nicht näher beschriebene Pufferüberlauf-Schwachstelle in
den Network Security Services (NSS) in Mozilla Firefox und Firefox ESR vor
Version 42 bzw 38.4, die beim Parsen eines ASN.1 OCTET-STRING hervorgerufen
wird. Ein entfernter, nicht authentifizierter Angreifer kann über diese
beliebigen Programmcode ausführen.

CVE-2015-3253: Schwachstelle in Apache Groovy erlaubt Ausführen beliebigen
Programmcodes

Es existiert eine Schwachstelle in der ‘MethodClosure’-Funktion in
‘runtime/MethodClosure.java’ in Apache Groovy von Version 1.7.0 bis 2.4.3.
Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
mittels eines präparierten serialisierten Objektes ausnutzen, um beliebigen
Programmcode auszuführen oder einen Denial-of-Service-Angriff durchzuführen.

CVE-2014-3576: Schwachstelle in ActiveMQ erlaubt Denial-of-Service-Angriff

Eine Schwachstelle im Apache ActiveMQ Broker basiert auf der Bereitstellung
eines Kommandos zum Herunterfahren über den Fernzugriff ohne jegliche
Authentifizierung. Ein entfernter, nicht authentisierter Angreifer kann
diese Schwachstelle ausnutzen, um den Listener des ActiveMQ Broker
herunterzufahren und so einen Denial-of-Service-Angriff durchzuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0638/

Schwachstelle CVE-2015-3253 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3253

Schwachstelle CVE-2014-3576 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3576

Schwachstelle CVE-2015-7182 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7182

Schwachstelle CVE-2015-3195 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3195

Schwachstelle CVE-2015-3197 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3197

Schwachstelle CVE-2015-7547 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7547

Oracle Critical Patch Update Advisory – April 2016 (CPUApr2016):
http://www.oracle.com/technetwork/topics/security/cpuapr2016-2881694.html

Oracle Critical Patch Update Advisory – April 2016 – Oracle Database Server:
http://www.oracle.com/technetwork/security-advisory/cpuapr2016v3-2985753.html#AppendixDB

Schwachstelle CVE-2016-0468 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0468

Schwachstelle CVE-2016-0479 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0479

Schwachstelle CVE-2016-0638 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0638

Schwachstelle CVE-2016-0671 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0671

Schwachstelle CVE-2016-0675 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0675

Schwachstelle CVE-2016-0688 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0688

Schwachstelle CVE-2016-0696 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0696

Schwachstelle CVE-2016-0700 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0700

Schwachstelle CVE-2016-3416 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3416

Schwachstelle CVE-2016-3455 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3455

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben