DFN-CERT-2016-0646 Oracle Datenbankserver: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes [Linux][Unix][Apple][Solaris][Windows]

DFN-CERT-2016-0646 Oracle Datenbankserver: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes [Linux][Unix][Apple][Solaris][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Oracle Database Server 11.2.0.4
Oracle Database Server 12.1.0.1
Oracle Database Server 12.1.0.2

Betroffene Plattformen:

Apple Mac OS X
GNU/Linux
Microsoft Windows
Oracle Solaris

Zwei Schwachstellen im Oracle Datenbankserver können von einem entfernten,
nicht authentisierten Angreifer ausgenutzt werden um beliebigen Programmcode
zur Ausführung zu bringen und möglicherweise das betroffene System zu
übernehmen oder wiederholt Denial-of-Service-Zustände herbeizuführen.
Mehrere weitere Schwachstellen können von einem entfernten, einfach
authentisierten Angreifer mit bestimmten Privilegien zur Ausführung von
beliebigen Programmcode mit den Rechten des Dienstes sowie zur Manipulation
von Dateien ausgenutzt werden.

Oracle stellt Sicherheitsupdates für die betroffenen Programmversionen
Oracle Database 11.2.0.4, 12.1.0.1 und 12.1.0.2 zur Verfügung. Oracle weist
zusätzlich in einem Update auf das Critical Patch Update Advisory für Januar
2016 darauf hin, dass CVE-2015-4923 nur Client-Installationen von Oracle
Database betrifft und empfiehlt dringend die Installation der zugehörigen
Sicherheitsupdates.

Patch:

Oracle Critical Patch Update Advisory – April 2016 – Oracle Database Server

http://www.oracle.com/technetwork/security-advisory/cpuapr2016v3-2985753.html#AppendixDB

Patch:

Oracle Critical Patch Update Advisory – January 2016 – Oracle Database
Server

http://www.oracle.com/technetwork/topics/security/cpujan2016-2367955.html#AppendixDB

CVE-2016-3454: Schwachstelle in Java VM ermöglicht Ausführung beliebigen
Programmcodes

Der Oracle Datenbankserver enthält eine Schwachstelle in der Komponente Java
VM, über die keine weiteren Einzelheiten bekannt sind. Die schwierig
auszunutzende Schwachstelle kann durch einen entfernten, nicht
authentisierten Angreifer zur Ausführung von beliebigen Programmcodes bis
hin zur vollständigen Kontrolle über das Betriebssystem ausgenutzt werden.

CVE-2016-0690 CVE-2016-0691: Schwachstellen in Oracle Datenbankserver
ermöglichen die Manipulation von Dateien

Es besteht eine Schwachstelle in der Komponente RDBMS Security des
Oracle-Datenbankservers. Ein entfernter, einfach authentisierter Angreifer,
der über ‘Create Session’-Privilegien verfügt, kann die leicht auszunutzende
Schwachstelle zur Manipulation von Dateien ausnutzen.

CVE-2016-0681: Schwachstelle in Oracle Datenbankserver ermöglicht Ausführung
beliebigen Programmcodes mit Rechten des Dienstes

Der Oracle Datenbankserver enthält eine leicht auszunutzende Schwachstelle
in Oracle OLAP. Ein entfernter, einfach authentisierter Angreifer mit
‘DBMS_AW’-Privilegien kann die Komponente Oracle OLAP kompromittieren und
beliebigen Programmcode im Kontext von OLAP zur Ausführung bringen.

CVE-2016-0677: Schwachstelle in Oracle Datenbankserver ermöglicht
Denial-of-Service-Angriff

Es besteht eine Schwachstelle in der Komponente RDBMS Security des
Oracle-Datenbankservers, falls Kerberos verwendet wird. Die einfach
auszunutzende Schwachstelle kann durch einen entfernten, nicht
authentisierten Angreifer zum Herbeiführen eines kompletten
Denial-of-Service-Zustands ausgenutzt werden.

CVE-2015-4923: Schwachstelle im XML Developer Kit for C des Oracle
Datenbankserver ermöglicht Denial-of-Service-Angriff

Im “XML Developer Kit for C” des Oracle Datenbankservers befindet sich eine
leicht auszunutzende Schwachstelle. Diese kann über HTTP dazu ausgenutzt
werden, um das XML Developer Kit for C in einen partiellen
Denial-of-Service-Zustand zu versetzen. Ein entfernter, einfach
authentifizierter Angreifer kann einen Denial-of-Service-Angriff
durchführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0646/

Schwachstelle CVE-2015-4923 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4923

Oracle Critical Patch Update Advisory – April 2016 – Oracle Database Server:
http://www.oracle.com/technetwork/security-advisory/cpuapr2016v3-2985753.html#AppendixDB

Oracle Critical Patch Update Advisory – January 2016 – Oracle Database Server:
http://www.oracle.com/technetwork/topics/security/cpujan2016-2367955.html#AppendixDB

Schwachstelle CVE-2016-0677 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0677

Schwachstelle CVE-2016-0681 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0681

Schwachstelle CVE-2016-0690 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0690

Schwachstelle CVE-2016-0691 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0691

Schwachstelle CVE-2016-3454 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3454

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben