Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
PeopleSoft Enterprise CS Campus Community 9.2
PeopleSoft Enterprise Financials and Supply Chain Management (FSCM) 9.1
PeopleSoft Enterprise PeopleTools 8.54
PeopleSoft Enterprise PeopleTools 8.55
PeopleSoft Enterprise Receivables 9.2
PeopleSoft Enterprise Supply Chain Management (SCM) 9.2
Betroffene Plattformen:
Unix
GNU/Linux
Microsoft Windows
Oracle Solaris
Mehrere Schwachstellen in verschiedenen Komponenten der Oracle PeopleSoft
Products ermöglichen auch einem entfernten, nicht authentifizierten
Angreifer das Ausspähen und Manipulieren von Daten. Eine Schwachstelle
erlaubt einem entfernten, nicht authentifizierten Angreifer zusätzlich das
Bewirken eines partiellen Denial-of-Service-Zustandes.
Für die Oracle PeopleSoft Products stehen Sicherheitsupdates zur Behebung
der Schwachstellen bereit.
Patch:
Oracle Critical Patch Update Advisory April 2017 – CPUApr2017 – PeopleSoft
http://www.oracle.com/technetwork/security-advisory/cpuapr2017-3236618.html#AppendixPS
CVE-2017-3577: Schwachstelle in PeopleSoft Enterprise CS Campus Community
ermöglicht Manipulation und Ausspähen von Daten
In der Subkomponente Frameworks der PeopleSoft Enterprise CS Campus
Community Komponente der Oracle PeopleSoft Products existiert eine leicht
auszunutzende Schwachstelle. Diese ermöglicht einem entfernten, mehrfach
authentisierten und hoch privilegierten Angreifer auf alle über PeopleSoft
Enterprise CS Campus Community zugänglichen Daten zuzugreifen, diese zu
verändern oder zu löschen.
CVE-2017-3571: Schwachstelle in PeopleSoft Enterprise SCM eBill Payment
ermöglicht Manipulation und Ausspähen von Daten
In der Subkomponente Security der PeopleSoft Enterprise SCM eBill Payment
Komponente der Oracle PeopleSoft Products existiert eine leicht
auszunutzende Schwachstelle. Diese ermöglicht einem entfernten, mehrfach
authentisierten und hoch privilegierten Angreifer auf alle über PeopleSoft
Enterprise SCM eBill Payment zugänglichen Daten zuzugreifen, diese zu
verändern oder zu löschen.
CVE-2017-3570: Schwachstelle in PeopleSoft Enterprise FSCM ermöglicht
Manipulation und Ausspähen von Daten
In der Subkomponente eSettlements der PeopleSoft Enterprise FSCM Komponente
der Oracle PeopleSoft Products existiert eine leicht auszunutzende
Schwachstelle. Diese ermöglicht einem entfernten, mehrfach authentisierten
und hoch privilegierten Angreifer auf alle über PeopleSoft Enterprise FSCM
zugänglichen Daten zuzugreifen, diese zu verändern oder zu löschen.
CVE-2017-3548: Schwachstelle in PeopleSoft Enterprise PeopleTools ermöglicht
Ausspähen von Daten und Denial-of-Service-Angriff
In der Subkomponente Integration Broker der PeopleSoft Enterprise
PeopleTools Komponente der Oracle PeopleSoft Products existiert eine leicht
auszunutzende Schwachstelle. Ein entfernter, nicht authentisierter Angreifer
kann diese Schwachstelle über das HTTP-Protokoll ausnutzen und lesenden
Zugriff auf einen Teil der über PeopleSoft Enterprise PeopleTools
zugänglichen Daten erlangen oder einen partiellen Denial-of-Service-Zustand
bewirken.
CVE-2017-3547: Schwachstelle in PeopleSoft Enterprise PeopleTools ermöglicht
Manipulation von Daten
In der Subkomponente MultiChannel Framework der PeopleSoft Enterprise
PeopleTools Komponente der Oracle PeopleSoft Products existiert eine leicht
auszunutzende Schwachstelle, für deren erfolgreiche Ausnutzung die
Interaktion mit einem Benutzer erforderlich ist. Die Schwachstelle
ermöglicht es einem entfernten, nicht authentisierten Angreifer über das
HTTP-Protokoll die PeopleSoft Enterprise PeopleTools zu kompromittieren und
die über die Komponente zugänglichen Daten zu verändern oder zu löschen
sowie neue Daten einzufügen.
CVE-2017-3546: Schwachstelle in PeopleSoft Enterprise PeopleTools ermöglicht
Manipulation und Ausspähen von Daten
In der Subkomponente MultiChannel Framework der PeopleSoft Enterprise
PeopleTools Komponente der Oracle PeopleSoft Products existiert eine leicht
auszunutzende Schwachstelle. Diese ermöglicht einem entfernten, nicht
authentisierten Angreifer auf eine Teilmenge der über PeopleSoft Enterprise
PeopleTools zugänglichen Daten zuzugreifen, diese zu verändern oder zu
löschen.
CVE-2017-3536: Schwachstelle in PeopleSoft Enterprise PeopleTools ermöglicht
Manipulation und Ausspähen von Daten
In der Subkomponente Security der PeopleSoft Enterprise PeopleTools
Komponente der Oracle PeopleSoft Products existiert eine leicht
auszunutzende Schwachstelle, für deren erfolgreiche Ausnutzung die
Interaktion mit einem Benutzer erforderlich ist. Die Schwachstelle
ermöglicht einem entfernten, einfach authentisierten, gering privilegierten
Angreifer auf eine Teilmenge der über PeopleSoft Enterprise PeopleTools
zugänglichen Daten zuzugreifen, diese zu lesen, zu verändern oder zu
löschen.
CVE-2017-3527: Schwachstelle in PeopleSoft Enterprise PeopleTools ermöglicht
Ausspähen von Daten
In der Subkomponente Fluid Core der PeopleSoft Enterprise PeopleTools
Komponente der Oracle PeopleSoft Products existiert eine leicht
auszunutzende Schwachstelle. Diese ermöglicht es einem entfernten, nicht
authentisierten Angreifer über das HTTP-Protokoll die PeopleSoft Enterprise
PeopleTools zu kompromittieren und einen Teil der über die Komponente
zugänglichen Daten auszuspähen.
CVE-2017-3525: Schwachstelle in PeopleSoft Enterprise SCM Service
Procurement ermöglicht Manipulation und Ausspähen von Daten
In der Subkomponente Usability der PeopleSoft Enterprise SCM Service
Procurement Komponente der Oracle PeopleSoft Products existiert eine leicht
auszunutzende Schwachstelle. Diese ermöglicht einem entfernten, mehrfach
authentisierten und hoch privilegierten Angreifer auf alle über PeopleSoft
Enterprise SCM Service Procurement zugänglichen Daten zuzugreifen, diese zu
verändern oder zu löschen.
CVE-2017-3524: Schwachstelle in PeopleSoft Enterprise SCM Strategic Sourcing
ermöglicht Manipulation und Ausspähen von Daten
In der Subkomponente Bidder Registration der PeopleSoft Enterprise SCM
Strategic Sourcing Komponente der Oracle PeopleSoft Products existiert eine
leicht auszunutzende Schwachstelle. Diese ermöglicht einem entfernten,
mehrfach authentisierten und hoch privilegierten Angreifer auf alle über
PeopleSoft Enterprise SCM Strategic Sourcing zugänglichen Daten zuzugreifen,
diese zu verändern oder zu löschen.
CVE-2017-3522: Schwachstelle in PeopleSoft Enterprise SCM eSupplier
Connection ermöglicht Manipulation und Ausspähen von Daten
In der Subkomponente Vendor der PeopleSoft Enterprise SCM eSupplier
Connection Komponente der Oracle PeopleSoft Products existiert eine leicht
auszunutzende Schwachstelle. Diese ermöglicht einem entfernten, mehrfach
authentisierten und hoch privilegierten Angreifer auf alle über PeopleSoft
Enterprise SCM eSupplier Connection zugänglichen Daten zuzugreifen, diese zu
verändern oder zu löschen.
CVE-2017-3521: Schwachstelle in PeopleSoft Enterprise SCM Purchasing
ermöglicht Manipulation und Ausspähen von Daten
In der Subkomponente Supplier Registration der PeopleSoft Enterprise SCM
Purchasing Komponente der Oracle PeopleSoft Products existiert eine leicht
auszunutzende Schwachstelle. Diese ermöglicht einem entfernten, mehrfach
authentisierten und hoch privilegierten Angreifer auf alle über PeopleSoft
Enterprise SCM Purchasing zugänglichen Daten zuzugreifen, diese zu verändern
oder zu löschen.
CVE-2017-3520: Schwachstelle in PeopleSoft Enterprise PeopleTools ermöglicht
Manipulation von Daten
In der Subkomponente Fluid Core der PeopleSoft Enterprise PeopleTools
Komponente der Oracle PeopleSoft Products existiert eine leicht
auszunutzende Schwachstelle, für deren erfolgreiche Ausnutzung die
Interaktion mit einem Benutzer erforderlich ist. Die Schwachstelle
ermöglicht es einem entfernten, nicht authentisierten Angreifer über das
HTTP-Protokoll die PeopleSoft Enterprise PeopleTools zu kompromittieren und
die über die Komponente zugänglichen Daten zu verändern oder zu löschen
sowie neue Daten einzufügen.
CVE-2017-3519: Schwachstelle in PeopleSoft Enterprise PeopleTools ermöglicht
Ausspähen von Informationen
In der Subkomponente Security der PeopleSoft Enterprise PeopleTools
Komponente der Oracle PeopleSoft Products existiert eine leicht
auszunutzende Schwachstelle. Ein entfernter, nicht authentisierter Angreifer
kann diese Schwachstelle ausnutzen und lesenden Zugriff auf kritische oder
auf alle über PeopleSoft Enterprise PeopleTools zugänglichen Daten erlangen.
CVE-2017-3502: Schwachstelle in PeopleSoft Enterprise FIN Receivables
ermöglicht Manipulation von Daten
In der Subkomponente Receivables der PeopleSoft Enterprise FIN Receivables
Komponente der Oracle PeopleSoft Products existiert eine leicht
auszunutzende Schwachstelle. Diese ermöglicht es einem entfernten, nicht
authentisierten Angreifer über das HTTP-Protokoll die PeopleSoft Enterprise
FIN Receivables zu kompromittieren und eine Teilmenge der über PeopleSoft
Enterprise FIN Receivables zugänglichen Daten zu verändern oder zu löschen
sowie neue Daten einzufügen.
CVE-2014-3596: Schwachstelle in Apache Axis aufgrund eines unvollständigen
Fixes
Eine Schwachstelle in der Funktion “getCN” in Apache Axis 1.4 und früher
besteht darin, dass diese Funktion nicht korrekt überprüft, ob der Hostname
eines Servers entweder mit einem Domain-Namen im Common Name (CN)-Feld des
Certificate Subjects oder alternativ mit einem Domain-Namen im
“subjectAltName”-Feld des X.509-Zertifikates übereinstimmt. Diese
Schwachstelle erlaubt einem entfernten, nicht authentisierten Angreifer, als
Man-in-the-Middle, mittels eines Zertifikates mit einem Certificate Subject,
welches einen “Common Name” angibt in einem Feld, welches nicht das CN-Feld
ist, SSL-Server zu spoofen, d.h. eine falsche Server-Identität
vorzutäuschen. Hierdurch werden weitere Angriffe möglich. Die Schwachstelle
besteht aufgrund eines unvollständigen Fixes für CVE-2012-5784.
Im Kontext der Komponente PeopleSoft Enterprise PeopleTools (Subkomponente:
Portal) von Oracle PeopleSoft ist diese Schwachstelle leicht über das
HTTP-Protokoll ausnutzbar und ermöglicht einem entfernten, nicht
authentisierten Angreifer unautorisiert einige der über PeopleSoft
Enterprise PeopleTools erreichbaren Daten zu aktualisieren, einzufügen oder
zu löschen und auf eine Teilmenge dieser Daten lesend zuzugreifen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0680/
Schwachstelle CVE-2014-3596 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3596
Oracle Critical Patch Update Advisory April 2017 – CPUApr2017 – PeopleSoft:
http://www.oracle.com/technetwork/security-advisory/cpuapr2017-3236618.html#AppendixPS
CPUApr2017 Risk Matrix – PeopleSoft:
http://www.oracle.com/technetwork/security-advisory/cpuapr2017verbose-3236619.html#PS
Schwachstelle CVE-2017-3502 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3502
Schwachstelle CVE-2017-3519 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3519
Schwachstelle CVE-2017-3520 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3520
Schwachstelle CVE-2017-3521 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3521
Schwachstelle CVE-2017-3522 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3522
Schwachstelle CVE-2017-3524 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3524
Schwachstelle CVE-2017-3525 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3525
Schwachstelle CVE-2017-3527 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3527
Schwachstelle CVE-2017-3536 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3536
Schwachstelle CVE-2017-3546 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3546
Schwachstelle CVE-2017-3547 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3547
Schwachstelle CVE-2017-3548 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3548
Schwachstelle CVE-2017-3570 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3570
Schwachstelle CVE-2017-3571 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3571
Schwachstelle CVE-2017-3577 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3577
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
