DFN-CERT-2016-1166 Oracle Fusion Middleware: Mehrere Schwachstellen ermöglichen u.a. die Übernahme verschiedener Anwendungen [Linux][Unix][Apple][Solaris][Windows]

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Oracle Access Manager 10.1.4.x
Oracle Access Manager 11.1.1.7
Oracle Business Intelligence 11.1.1.7.0 Enterprise
Oracle Business Intelligence 11.1.1.9.0 Enterprise
Oracle Business Intelligence 11.2.1.0.0 Enterprise
Oracle Directory Server 7.0
Oracle Directory Server 11.1.1.7.0
Oracle Glassfish Server 2.1.1
Oracle Glassfish Server 3.0.1
Oracle Glassfish Server 3.1.2
Oracle HTTP Server 11.1.1.9
Oracle HTTP Server 12.1.3.0
Oracle JDeveloper 11.1.1.7.0
Oracle JDeveloper 11.1.1.9.0
Oracle JDeveloper 11.1.2.4.0
Oracle JDeveloper 12.1.3.0.0
Oracle JDeveloper 12.2.1.0.0
Oracle BI Publisher 11.1.1.7.0
Oracle BI Publisher 11.1.1.9.0
Oracle BI Publisher 12.2.1.0.0
Oracle Outside In Technology 8.5.0
Oracle Outside In Technology 8.5.1
Oracle Outside In Technology 8.5.2
Oracle Portal 11.1.1.6
Oracle TopLink 12.1.3.0
Oracle TopLink 12.2.1.0
Oracle TopLink 12.2.1.1
Oracle WebCenter Sites 11.1.1.8
Oracle WebCenter Sites 12.2.1.0
Oracle Weblogic Server 10.3.6.0
Oracle Weblogic Server 12.1.3.0
Oracle Weblogic Server 12.2.1.0
Oracle Exalogic Elastic Cloud 1.x
Oracle Exalogic Elastic Cloud 2.x

Betroffene Plattformen:

Oracle Fusion Middleware
Apple Mac OS X
GNU/Linux
Microsoft Windows
Oracle Solaris

In der Oracle Fusion Middleware befinden sich mehrere Schwachstellen in
verschiedenen Komponenten, u.a. dem Oracle WebLogic und GlassFish Server,
der Oracle Outside In Technology und Oracle Business Intelligence. Durch
Ausnutzen dieser Schwachstellen kann ein zumeist entfernter, nicht
authentifizierter Angreifer Informationen ausspähen, Dateien manipulieren
und Denial-of-Service-Angriffe durchführen sowie die Anwendungen Oracle
GlassFish Server, Oracle JDeveloper, Oracle TopLink, Oracle WebCenter Sites
und Oracle WebLogic Server komplett übernehmen. Zwei Schwachstellen im
Oracle Directory Server und Oracle Portal ermöglichen dem Angreifer darüber
hinaus die Ausführung beliebigen Programmcodes. Der Oracle Access Manager
ist von einer Schwachstelle in OpenSSL betroffen, durch die der Angreifer
Sicherheitsvorkehrungen umgehen kann.

Oracle stellt Sicherheitsupdates für die betroffenen Produkte zur Verfügung
und weist darauf hin, dass der Fix für CVE-2015-7182 auch die Schwachstellen
CVE-2015-2721, CVE-2015-4000, CVE-2015-7181, CVE-2015-7183 und CVE-2015-7575
adressiert (Network Security Services). Der Fix für CVE-2016-1181 umfasst
CVE-2016-1182 (Apache Struts); der für CVE-2016-1548 umfasst CVE-2015-7979,
CVE-2016-1547, CVE-2016-1550, CVE-2016-2108, CVE-2016-2518, CVE-2016-4051,
CVE-2016-4052 sowie CVE-2016-4053 (NTP, OpenSSL, Squid) und der Fix für
CVE-2016-2107 behebt auch CVE-2016-2105, CVE-2016-2106, CVE-2016-2109 und
CVE-2016-2176 (OpenSSL).

Patch:

Oracle Critical Patch Update Advisory Juli 2016 – CPUJul2016 – Fusion
Middleware

http://www.oracle.com/technetwork/security-advisory/cpujul2016-2881720.html#AppendixFMW

CVE-2016-5477: Schwachstelle in Oracle GlassFish Server ermöglicht Ausspähen
von Informationen

Durch eine nicht näher spezifizierte, einfach auszunutzende Schwachstelle in
der Komponente Oracle GlassFish Server (Subkomponente Administration) der
Oracle Fusion Middleware kann ein entfernter, nicht authentifizierter
Angreifer mit Netzwerkzugriff über HTTP den Oracle GlassFish Server
kompromittieren und Lesezugriff auf eine Untermenge der von Oracle GlassFish
Server erreichbaren Daten erhalten.

CVE-2016-3608: Schwachstelle in Oracle GlassFish Server ermöglicht Ausspähen
von Informationen

CVE-2016-3607: Schwachstelle in Oracle GlassFish Server ermöglicht Übernahme
der Anwendung

Durch eine nicht näher spezifizierte, einfach auszunutzende Schwachstelle in
der Komponente Oracle GlassFish Server (Subkomponente Web Container) der
Oracle Fusion Middleware kann ein entfernter, nicht authentifizierter
Angreifer mit Netzwerkzugriff über HTTP den Oracle GlassFish Server komplett
kompromittieren.

CVE-2016-3590 CVE-2016-3591 CVE-2016-3592 CVE-2016-3593 CVE-2016-3594
CVE-2016-3595 CVE-2016-3596: Schwachstellen in Oracle Outside In Technology
ermöglichen u.a. Manipulation von Dateien

Durch mehrere nicht näher spezifizierte, einfach auszunutzende
Schwachstellen in der Komponente Oracle Outside In Technology (Subkomponente
Outside In Filters) der Oracle Fusion Middleware kann ein entfernter, nicht
authentifizierter Angreifer mit Netzwerkzugriff über HTTP die Anwendung
kompromittieren und in der Folge alle der durch Oracle Outside In Technology
erreichbaren Daten lesen und eine Untermenge dieser Daten manipulieren sowie
einen Denial-of-Service-Angriff (DoS) auf die Anwendung ausführen.

CVE-2016-3579 CVE-2016-3580 CVE-2016-3581 CVE-2016-3582 CVE-2016-3583:
Schwachstellen in Oracle Outside In Technology ermöglichen u.a. Manipulation
von Dateien

CVE-2016-3574 CVE-2016-3575 CVE-2016-3576 CVE-2016-3577 CVE-2016-3578:
Schwachstellen in Oracle Outside In Technology ermöglichen u.a. Manipulation
von Dateien

CVE-2016-3564: Schwachstelle in Oracle TopLink ermöglicht Übernahme der
Anwendung

Durch eine nicht näher spezifizierte, schwer auszunutzende Schwachstelle in
der Komponente Oracle TopLink (Subkomponente JPA-RS) der Oracle Fusion
Middleware kann ein entfernter, nicht authentifizierter Angreifer mit
Netzwerkzugriff über HTTP Oracle TopLink komplett kompromittieren.

CVE-2016-3544: Schwachstelle in Oracle Business Intelligence Enterprise
Edition ermöglicht u.a. Manipulation von Dateien

Durch eine nicht näher spezifizierte, einfach auszunutzende Schwachstelle in
der Komponente Oracle Business Intelligence Enterprise Edition
(Subkomponente Analytics Web General) der Oracle Fusion Middleware kann ein
entfernter, einfach authentifizierter Angreifer mit Netzwerkzugriff über
HTTP die Anwendung kompromittieren und in der Folge alle der durch Oracle
Business Intelligence Enterprise Edition erreichbaren Daten lesen und eine
Untermenge dieser Daten manipulieren. Um die Schwachstelle erfolgreich
auszunutzen, ist eine Benutzerinteraktion erforderlich.

CVE-2016-3510 CVE-2016-3586: Schwachstellen in Oracle WebLogic Server
ermöglichen Übernahme der Anwendung

Durch zwei nicht näher spezifizierte, einfach auszunutzende Schwachstellen
in der Komponente Oracle WebLogic Server (Subkomponente WLS Core Components)
der Oracle Fusion Middleware kann ein entfernter, nicht authentifizierter
Angreifer mit Netzwerkzugriff über HTTP den Oracle WebLogic Server komplett
kompromittieren.

CVE-2016-3504: Schwachstelle in Oracle JDeveloper ermöglicht Übernahme der
Anwendung

Durch eine nicht näher spezifizierte, leicht auszunutzende Schwachstelle in
der Komponente Oracle JDeveloper (Subkomponente ADF Faces) der Oracle Fusion
Middleware kann ein entfernter, einfach authentifizierter Angreifer mit
Netzwerkzugriff über HTTP die Anwendung komplett kompromittieren.

CVE-2016-3502: Schwachstelle in Oracle WebCenter Sites ermöglicht u.a.
Manipulation von Dateien

Durch eine nicht näher spezifizierte, leicht auszunutzende Schwachstelle in
der Komponente Oracle WebCenter Sites (Subkomponente WebCenter Sites) der
Oracle Fusion Middleware kann ein entfernter, einfach authentifizierter
Angreifer mit Netzwerkzugriff über HTTP die Anwendung kompromittieren und in
der Folge eine Untermenge der durch Oracle WebCenter Sites erreichbaren
Daten lesen und manipulieren sowie einen Denial-of-Service-Angriff (DoS) auf
die Anwendung ausführen. Zur erfolgreichen Ausnutzung der Schwachstelle ist
eine Benutzerinteraktion erforderlich.

CVE-2016-3499: Schwachstelle in Oracle WebLogic Server ermöglicht Übernahme
der Anwendung

Durch eine nicht näher spezifizierte, einfach auszunutzende Schwachstelle in
der Komponente Oracle WebLogic Server (Subkomponente Web Container) der
Oracle Fusion Middleware kann ein entfernter, nicht authentifizierter
Angreifer mit Netzwerkzugriff über HTTP den Oracle WebLogic Server komplett
kompromittieren.

CVE-2016-3487: Schwachstelle in Oracle WebCenter Sites ermöglicht Übernahme
der Anwendung

Durch eine nicht näher spezifizierte, schwer auszunutzende Schwachstelle in
der Komponente Oracle WebCenter Sites (Subkomponente WebCenter Sites) der
Oracle Fusion Middleware kann ein entfernter, nicht authentifizierter
Angreifer mit Netzwerkzugriff über HTTP die Anwendung komplett
kompromittieren.

CVE-2016-3482: Schwachstelle in Oracle HTTP Server ermöglicht Ausspähen von
Informationen

Durch eine nicht näher spezifizierte, schwer auszunutzende Schwachstelle in
der Komponente Oracle HTTP Server (Subkomponente SSL/TLS Module) von Oracle
Fusion Middleware kann ein entfernter, nicht authentifizierter Angreifer mit
Netzwerkzugriff über HTTPS den Server kompromittieren und in der Folge eine
Untermenge der durch Oracle HTTP Server erreichbaren Daten lesen.

CVE-2016-3474: Schwachstelle in BI Publisher ermöglicht Ausspähen von
Informationen

Durch eine nicht näher spezifizierte, schwer auszunutzende Schwachstelle in
der Komponente BI Publisher (Subkomponente Security) von Oracle Fusion
Middleware kann ein entfernter, nicht authentifizierter Angreifer mit
Netzwerkzugriff über HTTP auf BI Publisher das Programm kompromittieren und
in der Folge eine Untermenge der durch BI Publisher erreichbaren Daten
lesen.

CVE-2016-3446: Schwachstelle in Oracle Business Intelligence Enterprise
Edition ermöglicht u.a. Manipulation von Dateien

Durch eine nicht näher spezifizierte, einfach auszunutzende Schwachstelle in
der Komponente Oracle Business Intelligence Enterprise Edition
(Subkomponente Analytics Web Administration) der Oracle Fusion Middleware
kann ein entfernter, nicht authentifizierter Angreifer mit Netzwerkzugriff
über HTTP auf die Oracle Business Intelligence Enterprise Edition die
Anwendung kompromittieren und in der Folge eine Untermenge der durch Oracle
Business Intelligence Enterprise Edition erreichbaren Daten lesen und
manipulieren sowie einen Denial-of-Service-Angriff auf die Anwendung
ausführen.

CVE-2016-3445: Schwachstelle in Oracle WebLogic Server ermöglicht
Denial-of-Service-Angriff

Durch eine nicht näher spezifizierte, einfach auszunutzende Schwachstelle in
der Komponente Oracle WebLogic Server (Subkomponente Web Container) der
Oracle Fusion Middleware kann ein entfernter, nicht authentifizierter
Angreifer mit Netzwerkzugriff über HTTP auf den Oracle WebLogic Server die
Anwendung kompromittieren und in der Folge einen Denial-of-Service-Angriff
(DoS) auf den Server ausführen.

CVE-2016-3433: Schwachstelle in Oracle Business Intelligence Enterprise
Edition ermöglicht Manipulation von Dateien

Durch eine nicht näher spezifizierte, einfach auszunutzende Schwachstelle in
der Komponente Oracle Business Intelligence Enterprise Edition
(Subkomponente Analytics Web Administration) der Oracle Fusion Middleware
kann ein entfernter, einfach authentifizierter Angreifer mit Netzwerkzugriff
über HTTP auf die Oracle Business Intelligence Enterprise Edition die
Anwendung kompromittieren und in der Folge eine Untermenge der durch Oracle
Business Intelligence Enterprise Edition erreichbaren Daten lesen und
manipulieren. Für eine erfolgreiche Ausnutzung der Schwachstelle ist eine
Benutzerinteraktion erforderlich.

CVE-2016-3432: Schwachstelle in BI Publisher ermöglicht Manipulation von
Dateien

Durch eine nicht näher spezifizierte, einfach auszunutzende Schwachstelle in
der Komponente BI Publisher (Subkomponente Web Server) von Oracle Fusion
Middleware kann ein entfernter, einfach authentifizierter Angreifer mit
Netzwerkzugriff über HTTP auf BI Publisher das Programm kompromittieren und
in der Folge eine Untermenge der durch BI Publisher erreichbaren Daten lesen
und manipulieren. Um diese Schwachstelle erfolgreich auszunutzen, ist eine
Benutzerinteraktion erforderlich.

CVE-2016-1181: Schwachstelle in Apache Struts ermöglicht u.a. Ausführung
beliebigen Programmcodes

Die Klasse ‘ActionForm’ zur Behandlung von Webformularen in Apache Struts
enthält eine Schwachstelle, wenn mehrere Prozesse, die die gleiche Session
verarbeiten, auf die gleiche ‘ActionForm’-Instanz zugreifen und
Multi-Part-Anfragen verarbeitet werden können. Ein entfernter, nicht
authentifizierter Angreifer erhält dadurch Zugriff auf Komponenten wie
Servlets und ClassLoader im Serverspeicher und kann dadurch abhängig von der
Architektur der betroffenen Webanwendung verschiedene Angriffe durchführen.
Unter anderem sind ein Denial-of-Service-Angriff, das Ausspähen von
Informationen und die Ausführung beliebigen Programmcodes denkbar.

CVE-2016-2107: Schwachstelle in OpenSSL ermöglicht Umgehen von
Sicherheitsvorkehrungen

In OpenSSL existiert eine Schwachstelle, die durch den Fix zur Verhinderung
von “Lucky 13” Padding-Angriffen eingeführt wurde (CVE-2013-0169). Dabei
wurde die Padding Prüfung neu implementiert, so dass diese in konstanter
Zeit durchgeführt wird, um sicherzustellen, dass immer dieselben Bytes
gelesen und entweder gegen den MAC oder die Padding Bytes verglichen werden.
Dabei wird allerdings nicht länger geprüft, ob genügend Daten vorhanden
sind, um sowohl den MAC als auch Padding Bytes vorliegen zu haben. Ein
Man-in-the-Middle (MitM) kann diese Schwachstelle für einen ‘Padding
Oracle’-Angriff ausnutzen, um den Netzwerkverkehr zu entschlüsseln, wenn die
Verbindung AES-CBC-Chiffren verwendet und der Server den Befehlssatz AES
unterstützt. Ein entfernter, nicht authentisierter Angreifer kann
Sicherheitsvorkehrungen umgehen und in der Folge Informationen ausspähen

CVE-2016-1548: Schwachstelle in NTP ermöglicht Fälschen von
Zeitinformationen

Die Spezifikationen von NTP erlauben einen verschachtelten (interleaved)
Betriebsmodus, in dem jedes Paket einen Zeitstempel enthält, der angibt,
wann das vorherige Paket versendet wurde. Ein entfernter, nicht
authentifizierter Angreifer kann ein spezielles Paket versenden, das diesen
Modus aktiviert, auch wenn der Klient nicht dafür konfiguriert ist. Nach der
Aktivierung verwirft der Klient weitere Pakete vorher assoziierter Server,
so dass der Angreifer durch das Versenden weiterer Pakete die Uhrzeit auf
dem Klientsystem ändern kann.

CVE-2015-7182: Pufferüberlauf-Schwachstelle in Network Security Services
ermöglicht Ausführen beliebigen Programmcodes

Es existiert eine nicht näher beschriebene Pufferüberlauf-Schwachstelle in
den Network Security Services (NSS) in Mozilla Firefox und Firefox ESR vor
Version 42 bzw 38.4, die beim Parsen eines ASN.1 OCTET-STRING hervorgerufen
wird. Ein entfernter, nicht authentifizierter Angreifer kann über diese
beliebigen Programmcode ausführen.

CVE-2015-3237: Schwachstelle in cURL und libcurl ermöglicht das Ausspähen
von Informationen

Eine Schwachstelle in der Funktion smb_request_state() von cURL und libcurl
basiert auf der unzureichenden Überprüfung von Parametern. Zwei Werte für
die Länge und den Anfang werden aus den empfangenen Daten extrahiert und im
weiteren Protokollverlauf ohne Überprüfung auf Puffergrenzen benutzt, um den
Datenbereich, der zurückgesendet werden soll, festzulegen. Ein entfernter,
nicht authentifizierter Angreifer kann diese Schwachstelle mittels eines
schädlichen SMB-Servers unter seiner Kontrolle dazu ausnutzen, um
Informationen aus dem Prozessspeicher auszuspähen oder das auf libcurl
basierende Programm zum Absturz zu bringen (out-of-bounds read).

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1166/

Schwachstelle CVE-2015-3237 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3237

Schwachstelle CVE-2015-7182 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7182

Schwachstelle CVE-2016-1548 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1548

Schwachstelle CVE-2016-2107 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2107

Schwachstelle CVE-2016-1181 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1181

Oracle Critical Patch Update Advisory Juli 2016 – CPUJul2016 – Fusion
Middleware:
http://www.oracle.com/technetwork/security-advisory/cpujul2016-2881720.html#AppendixFMW

Oracle Fusion Middleware CPUJul2016 Risk Matrix:
http://www.oracle.com/technetwork/security-advisory/cpujul2016verbose-2881721.html#FMW

Schwachstelle CVE-2016-3432 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3432

Schwachstelle CVE-2016-3433 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3433

Schwachstelle CVE-2016-3445 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3445

Schwachstelle CVE-2016-3446 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3446

Schwachstelle CVE-2016-3474 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3474

Schwachstelle CVE-2016-3482 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3482

Schwachstelle CVE-2016-3487 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3487

Schwachstelle CVE-2016-3499 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3499

Schwachstelle CVE-2016-3502 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3502

Schwachstelle CVE-2016-3504 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3504

Schwachstelle CVE-2016-3510 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3510

Schwachstelle CVE-2016-3544 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3544

Schwachstelle CVE-2016-3564 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3564

Schwachstelle CVE-2016-3574 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3574

Schwachstelle CVE-2016-3575 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3575

Schwachstelle CVE-2016-3576 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3576

Schwachstelle CVE-2016-3577 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3577

Schwachstelle CVE-2016-3578 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3578

Schwachstelle CVE-2016-3579 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3579

Schwachstelle CVE-2016-3580 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3580

Schwachstelle CVE-2016-3581 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3581

Schwachstelle CVE-2016-3582 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3582

Schwachstelle CVE-2016-3583 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3583

Schwachstelle CVE-2016-3586 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3586

Schwachstelle CVE-2016-3590 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3590

Schwachstelle CVE-2016-3591 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3591

Schwachstelle CVE-2016-3592 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3592

Schwachstelle CVE-2016-3593 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3593

Schwachstelle CVE-2016-3594 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3594

Schwachstelle CVE-2016-3595 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3595

Schwachstelle CVE-2016-3596 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3596

Schwachstelle CVE-2016-3607 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3607

Schwachstelle CVE-2016-3608 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3608

Schwachstelle CVE-2016-5477 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5477

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.