DFN-CERT-2017-1821 Oracle Fusion Middleware: Mehrere Schwachstellen ermöglichen u.a. die Übernahme von Anwendungen [Linux][Unix][Solaris][Windows]

DFN-CERT-2017-1821 Oracle Fusion Middleware: Mehrere Schwachstellen ermöglichen u.a. die Übernahme von Anwendungen [Linux][Unix][Solaris][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Oracle Access Manager 11.1.2.3.0
Oracle API Gateway 11.1.2.4.0
Oracle Business Intelligence 11.1.1.7.0 Enterprise
Oracle Business Intelligence 11.1.1.9.0 Enterprise
Oracle Business Intelligence 12.2.1.1.0 Enterprise
Oracle Business Intelligence 12.2.1.2.0 Enterprise
Oracle Business Process Management Suite 11.1.1.7.0
Oracle Business Process Management Suite 11.1.1.9.0
Oracle Business Process Management Suite 12.1.3.0.0
Oracle Business Process Management Suite 12.2.1.1.0
Oracle Business Process Management Suite 12.2.1.2.0
Oracle Directory Server 11.1.1.7.0
Oracle Endeca Information Discovery Integrator 2.4
Oracle Endeca Information Discovery Integrator 3.0
Oracle Endeca Information Discovery Integrator 3.1
Oracle Endeca Information Discovery Integrator 3.2
Oracle Fusion Middleware
Oracle Glassfish Server 3.0.1
Oracle Glassfish Server 3.1.2
Oracle Goldengate Management Pack 11.2.1.0.12
Oracle HTTP Server 11.1.1.7.0
Oracle HTTP Server 11.1.1.9.0
Oracle HTTP Server 12.1.3.0.0
Oracle HTTP Server 12.2.1.1.0
Oracle HTTP Server 12.2.1.2.0
Oracle Identity Manager 11.1.2.3.0
Oracle Identity Manager Connector 9.1.1.5.0
Oracle iPlanet Web Server 7.0
Oracle JDeveloper 12.1.3.0.0
Oracle JDeveloper 12.2.1.2.0
Oracle Managed File Transfer (MFT) 12.1.3.0.0
Oracle Managed File Transfer (MFT) 12.2.1.1.0
Oracle Managed File Transfer (MFT) 12.2.1.2.0
Oracle BI Publisher 11.1.1.7.0
Oracle BI Publisher 11.1.1.9.0
Oracle BI Publisher 12.2.1.1.0
Oracle BI Publisher 12.2.1.2.0
Oracle Outside In Technology 8.5.3.0
Oracle Platform Security Services 11.1.1.9.0
Oracle Platform Security Services 12.1.3.0.0
Oracle SOA Suite 11.1.1.7.0
Oracle Virtual Directory 11.1.1.7.0
Oracle Virtual Directory 11.1.1.9.0
Oracle WebCenter Content 11.1.1.9.0
Oracle WebCenter Content 12.2.1.1.0
Oracle WebCenter Content 12.2.1.2.0
Oracle WebCenter Sites 11.1.1.8.0
Oracle WebCenter Sites 12.2.1.2.0
Oracle Weblogic Server 10.3.6.0
Oracle Weblogic Server 12.1.3.0
Oracle Weblogic Server 12.2.1.1
Oracle Weblogic Server 12.2.1.2

Betroffene Plattformen:

GNU/Linux
Microsoft Windows
Oracle Solaris

In der Oracle Fusion Middleware existieren mehrere Schwachstellen in
verschiedenen Komponenten, wie z.B. WebLogic Server, Oracle BI Publisher,
Oracle JDeveloper, Oracle Directory Server Enterprise Edition, Oracle
Identity Manager Connector, Oracle Access Manager, Oracle GlassFish Server,
Oracle HTTP Server und vielen weiteren sowie deren Unterkomponenten. Durch
Ausnutzen der Schwachstellen kann ein zumeist entfernter, auch nicht
authentifizierter Angreifer Informationen ausspähen, Daten manipulieren,
Denial-of-Service (DoS)- und Cross-Site-Scripting-Angriffe durchführen,
Sicherheitsvorkehrungen umgehen, beliebigen Programmcode ausführen sowie die
Anwendungen WebLogic Server und Oracle Virtual Directory komplett
übernehmen.

Oracle stellt Sicherheitsupdates für die betroffenen Produkte zur Verfügung.
In der Übersicht der behobenen Schwachstellen wird CVE-2015-2808
stellvertretend für die Schwachstelle CVE-2013-2566 aufgeführt,
CVE-2016-0714 stellvertretend für CVE-2015-5351, CVE-2016-0706 und
CVE-2016-0763 sowie CVE-2016-1181 stellvertretend für CVE-2014-0114,
CVE-2015-0899 und CVE-2016-1182 sowie CVE-2016-2834 stellvertretend für
CVE-2016-1950, CVE-2016-1979.

Oracle Fusion Middleware Produkte verwenden darüber hinaus Oracle Database
Komponenten, für die ein eigenes Sicherheitsupdate zur Verfügung steht.

Patch:

Oracle Critical Patch Update Advisory Oktober 2017 – CPUOct2017 (Oracle
Fusion Middleware)

http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html#AppendixFMW

CVE-2017-10400: Schwachstelle in Fusion Middleware ermöglicht Ausspähen von
Informationen und Manipulieren von Daten

In der Subkomponente Administration Graphical User Interface der Komponente
Oracle GlassFish Server der Oracle Fusion Middleware existiert eine leicht
ausnutzbare Schwachstelle. Ein entfernter, nicht authentisierter Angreifer
kann die Schwachstelle über das HTTP-Protokoll ausnutzen und Oracle
GlassFish Server in einer Interaktion mit einem weiteren Benutzer
kompromittieren. Dies ermöglicht dem Angreifer das Erstellen, Löschen und
Modifizieren einer Teilmenge der über Oracle GlassFish Server erreichbaren
Daten sowie unerlaubten Lesezugriff auf eine Untermenge dieser Daten.

CVE-2017-10393: Schwachstelle in Fusion Middleware ermöglichtu.a.
Manipulieren von Daten

In der Subkomponente Web Container der Komponente Oracle GlassFish Server
der Oracle Fusion Middleware existiert eine leicht ausnutzbare
Schwachstelle. Ein entfernter, nicht authentisierter Angreifer kann die
Schwachstelle über das HTTP-Protokoll ausnutzen und Oracle GlassFish Server
in einer Interaktion mit einem weiteren Benutzer kompromittieren. Dies
ermöglicht dem Angreifer das Erstellen, Löschen und Modifizieren einer
Teilmenge der über Oracle GlassFish Server erreichbaren Daten, unerlaubten
Lesezugriff auf eine Untermenge dieser Daten sowie das Herbeiführen eines
partiellen Denial-of-Service (DoS)-Zustands.

CVE-2017-10391: Schwachstelle in Fusion Middleware ermöglicht u.a.
Manipulieren von Daten

In der Subkomponente Administration der Komponente Oracle GlassFish Server
der Oracle Fusion Middleware existiert eine leicht ausnutzbare
Schwachstelle. Ein entfernter, nicht authentisierter Angreifer kann die
Schwachstelle über das HTTP-Protokoll ausnutzen und Oracle GlassFish Server
kompromittieren. Dies ermöglicht dem Angreifer das Erstellen, Löschen und
Modifizieren einer Teilmenge der über Oracle GlassFish Server erreichbaren
Daten, unerlaubten Lesezugriff auf eine Untermenge dieser Daten sowie das
Herbeiführen eines partiellen Denial-of-Service (DoS)-Zustands.

CVE-2017-10385: Schwachstelle in Fusion Middleware ermöglicht u.a.
Manipulieren von Daten

In der Subkomponente Web Container der Komponente Oracle GlassFish Server
der Oracle Fusion Middleware existiert eine leicht ausnutzbare
Schwachstelle. Ein entfernter, nicht authentisierter Angreifer kann die
Schwachstelle über das HTTP-Protokoll ausnutzen und Oracle GlassFish Server
in einer Interaktion mit einem weiteren Benutzer kompromittieren. Dies
ermöglicht dem Angreifer das Erstellen, Löschen und Modifizieren einer
Teilmenge der über Oracle GlassFish Server erreichbaren Daten, unerlaubten
Lesezugriff auf eine Untermenge dieser Daten sowie das Herbeiführen eines
Denial-of-Service (DoS)-Zustands.

CVE-2017-10369: Schwachstelle in Fusion Middleware ermöglicht Übernahme
einer Komponente

In der Subkomponente Virtual Directory Server der Komponente Oracle Virtual
Directory der Oracle Fusion Middleware existiert eine schwer ausnutzbare
Schwachstelle. Ein entfernter, einfach authentisierter Angreifer kann die
Schwachstelle über das HTTP-Protokoll ausnutzen und Oracle Virtual Directory
kompromittieren, wodurch dieser die Komponente vollständig übernehmen kann.

CVE-2017-10360: Schwachstelle in Fusion Middleware ermöglicht Ausspähen von
Informationen und Manipulieren von Daten

In der Subkomponente Content Server der Komponente Oracle WebCenter Content
der Oracle Fusion Middleware existiert eine leicht ausnutzbare
Schwachstelle. Ein entfernter, nicht authentisierter Angreifer kann die
Schwachstelle über das HTTP-Protokoll ausnutzen und Oracle WebCenter Content
in einer Interaktion mit einem weiteren Benutzer kompromittieren. Dies
ermöglicht dem Angreifer das Erstellen, Löschen und Modifizieren kritischer
oder sämtlicher der über Oracle WebCenter Content erreichbaren Daten sowie
unerlaubten Lesezugriff auf eine Untermenge dieser Daten. Die Ausnutzung der
Schwachstelle kann Auswirkungen auf andere Produkte haben.

CVE-2017-10352: Schwachstelle in Fusion Middleware ermöglicht
Denial-of-Service-Angriff

In der Subkomponente WLS-WebServices der Komponente Oracle WebLogic Server
der Oracle Fusion Middleware existiert eine schwer ausnutzbare
Schwachstelle. Ein entfernter, nicht authentisierter Angreifer kann die
Schwachstelle ausnutzen und Oracle WebLogic Server kompromittieren, wodurch
ein Denial-of-Service (DoS)-Zustand herbeigeführt werden kann.

CVE-2017-10336: Schwachstelle in Fusion Middleware ermöglicht Manipulieren
von Daten

In der Subkomponente Web Container der Komponente Oracle WebLogic Server der
Oracle Fusion Middleware existiert eine leicht ausnutzbare Schwachstelle.
Ein entfernter, nicht authentisierter Angreifer kann die Schwachstelle über
das HTTP-Protokoll ausnutzen und Oracle WebLogic Server kompromittieren,
wodurch dieser einige der über die Komponente erreichbaren Daten ändern,
löschen sowie neue erstellen kann.

CVE-2017-10334: Schwachstelle in Fusion Middleware ermöglicht Ausspähen von
Informationen

In der Subkomponente Web Container der Komponente Oracle WebLogic Server der
Oracle Fusion Middleware existiert eine leicht ausnutzbare Schwachstelle.
Ein entfernter, einfach authentisierter Angreifer kann die Schwachstelle
über das HTTP-Protokoll ausnutzen und Oracle WebLogic Server
kompromittieren. Der Angreifer kann dadurch unerlaubt lesend auf eine
Teilmenge der über Oracle WebLogic Server erreichbaren Daten zugreifen.

CVE-2017-10271: Schwachstelle in Fusion Middleware ermöglicht Übernahme
einer Komponente

In der Subkomponente WLS Security der Komponente WebLogic Server der Oracle
Fusion Middleware existiert eine leicht ausnutzbare Schwachstelle. Ein
entfernter, nicht authentisierter Angreifer kann die Schwachstelle über das
HTTP-Protokoll ausnutzen und WebLogic Server kompromittieren, wodurch dieser
die Komponente vollständig übernehmen kann.

CVE-2017-10270: Schwachstelle in Fusion Middleware ermöglicht Manipulieren
von Daten und Denial-of-Service-Angriff

In der Subkomponente Microsoft Active Directory der Komponente Oracle
Identity Manager Connector der Oracle Fusion Middleware existiert eine
leicht ausnutzbare Schwachstelle. Ein lokaler, nicht authentisierter
Angreifer kann die Schwachstelle ausnutzen und Oracle Identity Manager
Connector in einer Interaktion mit einem weiteren Benutzer kompromittieren.
Dies ermöglicht dem Angreifer das Erstellen, Löschen und Modifizieren
kritischer oder sämtlicher der über Oracle Identity Manager Connector
erreichbaren Daten sowie das Herbeiführen eines Denial-of-Service
(DoS)-Zustands. Die Ausnutzung der Schwachstelle kann Auswirkungen auf
andere Produkte haben.

CVE-2017-10259: Schwachstelle in Fusion Middleware ermöglicht Ausspähen von
Informationen

In der Subkomponente Web Server Plugin der Komponente Oracle Access Manager
der Oracle Fusion Middleware existiert eine leicht ausnutzbare
Schwachstelle. Ein entfernter, nicht authentisierter Angreifer kann die
Schwachstelle über das HTTP-Protokoll ausnutzen und Oracle Access Manager
kompromittieren. Der Angreifer kann dadurch unerlaubt lesend auf kritische
oder auf sämtliche der über Oracle Access Manager erreichbaren Daten
zugreifen.

CVE-2017-10166: Schwachstelle in Fusion Middleware ermöglicht Manipulieren
von Daten

In der Subkomponente C Oracle SSL API der Komponente Oracle Security Service
der Oracle Fusion Middleware existiert eine schwer ausnutzbare
Schwachstelle. Ein entfernter, nicht authentisierter Angreifer kann die
Schwachstelle über das HTTPS-Protokoll ausnutzen und Oracle Security Service
kompromittieren, wodurch dieser einige der über die Komponente erreichbaren
Daten ändern, löschen sowie neue erstellen kann.

CVE-2017-10163: Schwachstelle in Fusion Middleware ermöglicht Ausspähen von
Informationen und Manipulieren von Daten

In der Subkomponente Analytics Web General der Komponente Oracle Business
Intelligence Enterprise Edition der Oracle Fusion Middleware existiert eine
leicht ausnutzbare Schwachstelle. Ein entfernter, einfach authentisierter
Angreifer kann die Schwachstelle über das HTTP-Protokoll ausnutzen und
Oracle Business Intelligence Enterprise Edition in einer Interaktion mit
einem weiteren Benutzer kompromittieren. Dies ermöglicht dem Angreifer das
Erstellen, Löschen und Modifizieren kritischer oder sämtlicher der über
Oracle Business Intelligence Enterprise Edition erreichbaren Daten sowie
unerlaubten Lesezugriff auf eine Untermenge dieser Daten.

CVE-2017-10154: Schwachstelle in Fusion Middleware ermöglicht Ausspähen von
Informationen

In der Subkomponente Web Server Plugin der Komponente Oracle Access Manager
der Oracle Fusion Middleware existiert eine leicht ausnutzbare
Schwachstelle. Ein entfernter, nicht authentisierter Angreifer kann die
Schwachstelle über das HTTP-Protokoll ausnutzen und Oracle Access Manager
kompromittieren. Der Angreifer kann dadurch unerlaubt lesend auf eine
Teilmenge der über Oracle Access Manager erreichbaren Daten zugreifen.

CVE-2017-10152: Schwachstelle in Fusion Middleware ermöglicht Ausspähen von
Informationen

In der Subkomponente Web Container der Komponente Oracle WebLogic Server der
Oracle Fusion Middleware existiert eine leicht ausnutzbare Schwachstelle.
Ein entfernter, einfach authentisierter Angreifer kann die Schwachstelle
über das HTTP-Protokoll ausnutzen und Oracle WebLogic Server
kompromittieren. Der Angreifer kann dadurch unerlaubt lesend auf kritische
oder auf sämtliche der über Oracle WebLogic Server erreichbaren Daten
zugreifen.

CVE-2017-10060: Schwachstelle in Fusion Middleware ermöglicht Ausspähen von
Informationen und Manipulieren von Daten

In der Subkomponente Analytics Web General der Komponente Oracle Business
Intelligence Enterprise Edition der Oracle Fusion Middleware existiert eine
leicht ausnutzbare Schwachstelle. Ein entfernter, nicht authentisierter
Angreifer kann die Schwachstelle über das HTTP-Protokoll ausnutzen und
Oracle Business Intelligence Enterprise Edition in einer Interaktion mit
einem weiteren Benutzer kompromittieren. Der Angreifer kann dadurch
unerlaubt lesend auf kritische oder auf sämtliche der über Oracle Business
Intelligence Enterprise Edition erreichbaren Daten zugreifen und einige der
Daten ändern und löschen beziehungsweise neue erstellen. Die Ausnutzung der
Schwachstelle kann Auswirkungen auf andere Produkte haben.

CVE-2017-10055: Schwachstelle in Fusion Middleware ermöglicht Ausspähen von
Informationen und Manipulieren von Daten

In der Subkomponente Admin Graphical User Interface der Komponente Oracle
iPlanet Web Server der Oracle Fusion Middleware existiert eine leicht
ausnutzbare Schwachstelle. Ein entfernter, nicht authentisierter Angreifer
kann die Schwachstelle über das HTTP-Protokoll ausnutzen und Oracle iPlanet
Web Server in einer Interaktion mit einem weiteren Benutzer kompromittieren.
Dies ermöglicht dem Angreifer das Erstellen, Löschen und Modifizieren einer
Teilmenge der über Oracle iPlanet Web Server erreichbaren Daten sowie
unerlaubten Lesezugriff auf eine Untermenge dieser Daten. Die Ausnutzung der
Schwachstelle kann Auswirkungen auf andere Produkte haben.

CVE-2017-10051: Schwachstelle in Fusion Middleware ermöglicht
Denial-of-Service-Angriff

In der Subkomponente Outside In Filters der Komponente Oracle Outside In
Technology der Oracle Fusion Middleware existiert eine leicht ausnutzbare
Schwachstelle. Ein einfach authentisierter Angreifer mit Zugriff auf die
physikalischen Kommunikationssegmente kann die Schwachstelle ausnutzen und
Oracle Outside In Technology kompromittieren, wodurch ein Denial-of-Service
(DoS)-Zustand herbeigeführt werden kann.

CVE-2017-10037: Schwachstelle in Fusion Middleware ermöglicht Ausspähen von
Informationen

In der Subkomponente Web Service API der Komponente Oracle BI Publisher der
Oracle Fusion Middleware existiert eine leicht ausnutzbare Schwachstelle.
Ein entfernter, nicht authentisierter Angreifer kann die Schwachstelle über
das HTTP-Protokoll ausnutzen und Oracle BI Publisher kompromittieren. Der
Angreifer kann dadurch unerlaubt lesend auf kritische oder auf sämtliche der
über Oracle BI Publisher erreichbaren Daten zugreifen.

CVE-2017-10034: Schwachstelle in Fusion Middleware ermöglicht Ausspähen von
Informationen und Manipulieren von Daten

In der Subkomponente Core Formatting API der Komponente Oracle BI Publisher
der Oracle Fusion Middleware existiert eine leicht ausnutzbare
Schwachstelle. Ein entfernter, nicht authentisierter Angreifer kann die
Schwachstelle über das HTTP-Protokoll ausnutzen und Oracle BI Publisher in
einer Interaktion mit einem weiteren Benutzer kompromittieren. Der Angreifer
kann dadurch unerlaubt lesend auf kritische oder auf sämtliche der über
Oracle BI Publisher erreichbaren Daten zugreifen und einige der Daten auch
ändern und löschen beziehungsweise neue erstellen. Die Ausnutzung der
Schwachstelle kann Auswirkungen auf andere Produkte haben.

CVE-2017-10033: Schwachstelle in Fusion Middleware ermöglicht Ausspähen von
Informationen und Manipulieren von Daten

In der Subkomponente Support Tools der Komponente Oracle WebCenter Sites der
Oracle Fusion Middleware existiert eine schwer ausnutzbare Schwachstelle.
Ein lokaler, nicht authentisierter Angreifer kann die Schwachstelle
ausnutzen und Oracle WebCenter Sites kompromittieren. Dies ermöglicht dem
Angreifer das Erstellen, Löschen und Modifizieren einer Teilmenge der über
Oracle Business Intelligence Enterprise Edition erreichbaren Daten sowie
unerlaubten Lesezugriff auf eine Untermenge dieser Daten.

CVE-2017-10026: Schwachstelle in Fusion Middleware ermöglicht Ausspähen von
Informationen und Manipulieren von Daten

In der Subkomponente Fabric Layer der Komponente Oracle SOA Suite der Oracle
Fusion Middleware existiert eine leicht ausnutzbare Schwachstelle. Ein
entfernter, nicht authentisierter Angreifer kann die Schwachstelle über das
HTTP-Protokoll ausnutzen und Oracle SOA Suite in einer Interaktion mit einem
weiteren Benutzer kompromittieren. Der Angreifer kann dadurch unerlaubt
lesend auf kritische oder auf sämtliche der über Oracle SOA Suite
erreichbaren Daten zugreifen und einige der Daten ändern und löschen
beziehungsweise neue erstellen. Die Ausnutzung der Schwachstelle kann
Auswirkungen auf andere Produkte haben.

CVE-2017-5662: Schwachstelle in Apache Batik ermöglicht Ausspähen von
Informationen und Denial-of-Service-Angriff

In Apache Batik bevor 1.9 können Dateien aus dem Dateisystems eines Server,
der Batik verwendet, gegenüber beliebigen Benutzern offengelegt werden, die
schädlich geformte Dateien des Typs ‘SVG’ an denselben senden. Dabei hängen
die Dateitypen, welche angezeigt werden, von dem Benutzerkontext ab, in dem
die ausnutzbare Anwendung ausgeführt wird. Für den Benutzer ‘root’ ist eine
vollständige Kompromittierung des Servers möglich, inklusive der Offenlegung
vertraulicher oder sensitiver Dateien. Außerdem können XML External Entities
(XXE) auch verwendet werden, um die Verfügbarkeit des Servers anzugreifen,
da sich die Referenzen innerhalb eines XML-Dokumentes auf triviale Weise für
einen Verstärkerangriff (Amplification Attack) verwenden lassen.

CVE-2016-0635: Schwachstelle in Oracle MySQL ermöglicht Erlangen von
Administratorrechten

Die Subkomponente Monitoring: General des MySQL Enterprise Monitor von
Oracle MySQL enthält eine nicht näher beschriebene, einfach auszunutzende
Schwachstelle. Ein entfernter, einfach authentifizierter Angreifer mit
niedrigen Privilegien kann diese Schwachstelle über das Protokoll TLS dazu
ausnutzen, den MySQL Enterprise Monitor zu übernehmen.

Im Kontext des Oracle Critical Patch Update Advisory Juli 2017 besteht diese
leicht ausnutzbare Schwachstelle in mehreren Komponenten verschiedener
Oracle Produkte. Ein entfernter, einfach authentisierter Angreifer kann die
Schwachstelle über das HTTP-Protokoll ausnutzen und die jeweils betroffene
Komponente kompromittieren und vollständig übernehmen.

CVE-2016-6814: Schwachstelle in Apache Groovy ermöglicht Ausführen
beliebigen Programmcodes

In Groovy 1.7.0 bis 2.4.3 (nicht unterstützte Versionen) und Apache Groovy
2.4.4 bis 2.4.7 existiert eine Schwachstelle, wenn eine Anwendung mit Groovy
auf dem Klassenpfad den Standard Java Mechanismus zur Serialisierung
verwendet, beispielsweise zur Kommunikation zwischen Servern oder um lokale
Daten zu speichern. Ein entfernter, nicht authentisierter Angreifer kann
diese Schwachstelle ausnutzen, um beliebigen Programmcode zur Ausführung zu
bringen oder einen Denial-of-Service (DoS)-Angriff durchzuführen.

Im Kontext der Oracle Retail Store Inventory Management Komponente von
Oracle Retail Applications (Subcomponente: SIM Integration (Apache Groovy))
betrifft diese Schwachstelle die Versionen 13.2.9, 14.0.4, 14.1.3, 15.0.1
und 16.0.1 und ermöglicht einem Angreifer die Übernahme dieser Komponente.
Die Komponente zählt hier nicht zur Default-Konfiguration.

CVE-2016-2183: Schwachstelle in SSL/TLS ermöglicht Umgehen von
Sicherheitsvorkehrungen

HTTPS und viele andere Dienste, welche die kryptographischen Protokolle SSL
und TLS zum Zweck der Verschlüsselung verwenden, können standardmäßig unter
anderem den ‘Triple-DES’-Kryptoalgorithmus nutzen, der gegen den sogenannten
Geburtstagsangriff (Birthday Attack, SWEET32) verwundbar ist. Die
Schwachstelle ist aufgrund der Art und Weise wie Browser
Authentifizierungs-Cookies (Session Cookies) behandeln ausnutzbar, weil
diese zwischen einem Webdienst und dem Browser wiederholt hin und her
geschickt werden. Verfügt ein Angreifer über die Möglichkeit genügend
Datenverkehr zwischen diesen Endpunkten zu genieren, indem er beispielsweise
ein bösartiges JavaScript-Programm im Browser eines Benutzers ausführt oder
diesen auf eine hierfür präparierte Webseite leitet, und kann darüber hinaus
diesen Datenverkehr mitschneiden, ermöglicht dies bei ausreichender
Datenmenge einen Kollisionsangriff (Collision Attack) durchzuführen und den
Inhalt des Session Cookies zu enthüllen. Ein entfernter, nicht
authentisierter Angreifer kann Sicherheitsvorkehrungen umgehen und
infolgedessen Informationen ausspähen.

Im Kontext des Oracle Critical Patch Update Advisory CPUApr2017 betrifft
diese Schwachstelle unter anderem die API Gateway Komponente der Oracle
Fusion Middleware.

CVE-2016-3092: Schwachstelle in Apache Tomcat ermöglicht
Denial-of-Service-Angriff

In der Apache Commons FileUpload-Komponente von Apache Tomcat existiert eine
Denial-of-Service (DoS)-Schwachstelle. Wenn die ‘Multipart Boundaries’ von
Dateien nur knapp unterhalb der Größe des Puffers (4096 Byte) sind, der
verwendet wird, um hochgeladene Dateien zu lesen, benötigt der
FileUpload-Prozess mehrere Größenordnungen mehr Zeit, als bei den üblichen
10 Bytes. Ein entfernter, nicht authentifizierter Angreifer kann diese
Schwachstelle ausnutzen, indem er wiederholt entsprechende
FileUpload-Requests sendet und damit einen Denial-of-Service (DoS)-Zustand
verursachen.

Im Kontext des Oracle Critical Patch Update Advisory Juli 2017 besteht diese
leicht ausnutzbare Schwachstelle in mehreren Komponenten verschiedener
Oracle Produkte. Ein entfernter, nicht authentisierter Angreifer kann die
Schwachstelle über das HTTP-Protokoll ausnutzen und einen vollständigen
Denial-of-Service (DoS)-Zustand herbeiführen.

CVE-2016-1182: Schwachstelle in Apache Struts ermöglicht
Cross-Site-Scripting-Angriff

Falls ‘ValidatorForm’ oder ‘ValidatorActionForm’ sich im Session Scope
befinden, kann ein entfernter, nicht authentifizierter Angreifer eine
Schwachstelle ausnutzen, um die Konfiguration der Eingangsdatenvalidierung
zu ändern. Dazu gehören beispielsweise Validierungsregeln und
Fehlermeldungen. Der Angreifer kann dadurch einen
Cross-Site-Scripting-Angriff (XSS) ausführen.

Im Kontext des Oracle Critical Patch Update Advisory CPUApr2017 betrifft
diese Schwachstelle unter anderem die WebLogic Server Komponente von Oracle
Fusion Middleware.

CVE-2016-1181: Schwachstelle in Apache Struts ermöglicht u.a. Ausführung
beliebigen Programmcodes

Die Klasse ‘ActionForm’ zur Behandlung von Webformularen in Apache Struts
enthält eine Schwachstelle, wenn mehrere Prozesse, die die gleiche Session
verarbeiten, auf die gleiche ‘ActionForm’-Instanz zugreifen und
Multi-Part-Anfragen verarbeitet werden können. Ein entfernter, nicht
authentifizierter Angreifer erhält dadurch Zugriff auf Komponenten wie
Servlets und ClassLoader im Serverspeicher und kann dadurch abhängig von der
Architektur der betroffenen Webanwendung verschiedene Angriffe durchführen.
Unter anderem sind ein Denial-of-Service-Angriff, das Ausspähen von
Informationen und die Ausführung beliebigen Programmcodes denkbar.

Im Kontext des Oracle Critical Patch Update Advisory CPUApr2017 betrifft
diese schwer ausnutzbare Schwachstelle unter anderem die WebLogic Server
Komponente von Oracle Fusion Middleware, die ein entfernter, einfach
authentisierter Angreifer über das HTTP-Protokoll ausnutzen kann, um die
Komponente zu kompromittieren und die Kontrolle darüber zu übernehmen.

CVE-2016-2834: Schwachstellen in Network Security Services ermöglichen nicht
spezifizierte Angriffe

Mehrere Schwachstellen in der von Mozilla Firefox genutzten Bibliothek
Network Security Services (NSS) vor Version 3.23 basieren auf Fehlern in der
Speicherverwaltung im Zusammenhang mit ungültigen UTF-16-Sequenzen, der
Behandlung von UTF-16-Surrogates, der Längenermittlung bei der Umwandlung
von UCS-2- zu UTF-8-Daten sowie der Dekodierung von DER-Ganzzahlen. Ein
entfernter, nicht authentifizierter Angreifer kann nicht spezifizierte
Angriffe durchführen.

Im Kontext des Oracle Critical Patch Update Advisory Juli 2017 besteht diese
leicht ausnutzbare Schwachstelle in mehreren Komponenten verschiedener
Oracle Produkte. Ein entfernter, nicht authentisierter Angreifer kann die
Schwachstelle über das HTTP-Protokoll ausnutzen und die jeweils betroffene
Komponente kompromittieren und vollständig übernehmen. Hierfür ist eine
Interaktion mit einem Anwender notwendig.

CVE-2016-1979: Schwachstelle in Mozilla NSS ermöglicht Ausführen beliebigen
Programmcodes

In den von Mozilla Firefox genutzten Network Security Services (NSS)
Bibliotheken kann es bei der Verarbeitung von DER-kodierten Schlüsseln zu
einem Speicherfehler (Use-after-free) kommen. Ein entfernter, nicht
authentisierter Angreifer kann einen Absturz herbeiführen
(Denial-of-Service) oder beliebigen Programmcode ausführen.

Im Kontext des Oracle Critical Patch Update Advisory Juli 2017 besteht diese
Schwachstelle in einer nicht spezifizierten Komponente der Oracle Fusion
Middleware.

CVE-2016-1950: Schwachstelle in NSS / Security ermöglicht Ausführen
beliebigen Programmcodes mit Benutzerrechten

In den von Mozilla Firefox und Mozilla Firefox ESR genutzten Network
Security Services (NSS) Bibliotheken sowie der Komponente Security in Apple
vor Version iOS 9.3 und Mac OS X El Capitan vor Version 10.11.4 kann es beim
Parsen bestimmter ASN.1 Strukturen zu einem Heap-basierten Speicherüberlauf
kommen. Ein entfernter, nicht authentisierter Angreifer kann mittels eines
speziell präparierten Zertifikats einen Absturz herbeiführen
(Denial-of-Service) oder beliebigen Programmcode mit Benutzerrechten
ausführen.

Im Kontext des Oracle Critical Patch Update Advisory Juli 2017 besteht diese
Schwachstelle in einer nicht spezifizierten Komponente der Oracle Fusion
Middleware.

CVE-2016-0763: Schwachstelle in Apache Tomcat ermöglicht Manipulation von
Dateien

Web-Anwendungen haben Zugriff auf die öffentliche (public) Funktion
‘ResourceLinkFactory.setGlobalContext()’, auch wenn diese unter einem
Sicherheits-Manager (Security Manager) läuft. Ein entfernter, nicht
authentifizierter Angreifer kann mit Hilfe einer Web-Anwendung eine globalen
Webseite (global context) erstellen und in der Folge den Zugriff auf andere
Web-Anwendungen einschränken und Dateien im Kontext dieser Anwendungen
manipulieren.

Im Kontext des Oracle Critical Patch Update Advisory CPUApr2017 betrifft
diese Schwachstelle unter anderem die WebCenter Sites Komponente von Oracle
Fusion Middleware.

CVE-2016-0714: Schwachstelle in Apache Tomcat ermöglicht Ausführung
beliebigen Programmcodes

Die Funktionen ‘StandardManager’ und ‘PersistentManager’ zum Erhalt von
Sessions zum Zugriff auf Dateien, Datenbanken oder selbst konstruierte
Objekte können ausgenutzt werden, um einen Sicherheits-Manager (Security
Manager) zu umgehen. Ein entfernter, nicht authentifizierter Angreifer kann
ein speziell präpariertes Objekt in eine Session einfügen und über den
Programmcode zum Erhalt von Sessions beliebigen Programmcode ausführen.

Im Kontext des Oracle Critical Patch Update Advisory CPUApr2017 betrifft
diese leicht ausnutzbare Schwachstelle unter anderem die WebCenter Sites
Komponente von Oracle Fusion Middleware, die ein entfernter, einfach
authentisierter Angreifer über das HTTP-Protokoll ausnutzen kann, um die
WebCenter Sites Komponente zu kompromittieren und die Kontrolle darüber zu
übernehmen.

CVE-2016-0706: Schwachstelle in Apache Tomcat ermöglicht Ausspähen von
Informationen

Falls ein Sicherheits-Manager (Security Manager) konfiguriert ist, kann das
interne ‘StatusManagerServlet’ durch verwaltete Web-Awendungen geladen
werden. Die Web-Anwendungen können daraus Informationen über verteilte
Anwendungen und eine Liste momentan prozessierter HTTP-Anfragen extrahieren.
Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe einer
Web-Anwendung, die unter einem Sicherheits-Manager ausgeführt wird,
Informationen über andere Web-Anwendungen unterhalb des Sicherheits-Managers
ausspähen.

Im Kontext des Oracle Critical Patch Update Advisory CPUApr2017 betrifft
diese Schwachstelle unter anderem die WebCenter Sites Komponente von Oracle
Fusion Middleware.

CVE-2015-5351: Schwachstelle in Apache Tomcat ermöglicht
Cross-Site-Request-Forgery-Angriff

Die Indexseiten zu den Manager- und Host-Manager-Anwendungen beinhalten ein
gültiges Cross-Site-Request-Token (CSRF-Token), da eine neue Session
generiert wird, wenn die Anwendungen als Antwort auf einen
unauthentifizierten Zugriff auf das Wurzelverzeichnis der Webseite eine
Umleitung auslösen. Ein entfernter, nicht authentifizierter Angreifer mit
Zugriff auf die Manager- oder Host-Manager-Anwendung kann mit Hilfe des
CSRF-Tokens einen CSRF-Angriff konstruieren.

Im Kontext des Oracle Critical Patch Update Advisory CPUApr2017 betrifft
diese Schwachstelle unter anderem die WebCenter Sites Komponente von Oracle
Fusion Middleware.

CVE-2015-5254: Schwachstelle in Apache ActiveMQ ermöglicht Ausführen
beliebigen Programmcodes

Es existiert eine Schwachstelle in Apache ActiveMQ 5.0.0 – 5.12.1 aufgrund
einer unsicheren Deserialisierung. JMS Object Messages hängen von der
Java-Serialisierung für ‘marshaling/unmarshaling’ des Message Payloads ab.
Hierfür findet eine Deserialisierung an vielen Stellen innerhalb des Brokers
statt, wie beispielsweise in der Webkonsole oder in “Stomp Object Message
Transformation”. Aufgrund der Angreifbarkeit der Java-Serialisierung, wie es
aktuell auch in den Schwachstellen CVE-2015-6420, CVE-2015-4852,
CVE-2015-7501 und CVE-2015-8103 beschrieben wird, ist der Broker über eine
Deserialisierung nicht vertrauenswürdiger Daten verwundbar. Ferner können
Anwendungen, die den “ObjectMessage” Typ von Nachrichten verarbeiten,
verwundbar sein, da sie Objekte in ObjectMessage.getObject() Calls
deserialisieren. Ein entfernter, nicht authentisierter Angreifer kann die
Schwachstelle ausnutzen, indem er speziell präparierte Daten sendet, um
beliebigen Java Programmcode auf dem System zur Ausführung zu bringen.

Im Kontext des Oracle Critical Patch Update Advisory Juli 2017 besteht diese
leicht ausnutzbare Schwachstelle in der Subkomponente Security Subsystem
(Apache ActiveMQ) der Komponente Oracle Enterprise Repository in der Oracle
Fusion Middleware. Ein entfernter, nicht authentisierter Angreifer kann die
Schwachstelle über das HTTP-Protokoll ausnutzen und Oracle Enterprise
Repository kompromittieren und die Komponente darüber vollständig
übernehmen.

CVE-2015-7501: Schwachstelle in Apache Commons Collections ermöglicht
Ausführen beliebigen Programmcodes

Eine Schwachstelle in der Apache Commons Collections Java Bibliothek führt
dazu, dass eine Applikation, die speziell präparierte serialisierte Objekte
als Benutzereingabe ungeprüft akzeptiert sowie die Commons Collections im
Java “classpath” hat, dazu gebracht werden kann, beliebigen Programmcode mit
den Rechten der Anwendung auszuführen. Der Fehler liegt in der Art und
Weise, wie die Deserialisierung der Daten durch die Java InvokerTransformer
Klasse durchgeführt wird.

Die Commons Collections Java Bibliothek ist Bestandteil von vielen
Produkten, die dementsprechend verwundbar sind. Dazu zählen Jenkins, IBM
WebSphere, Oracle WebLogic und viele weitere.

Ein entfernter, nicht authentisierter Angreifer kann diese Schwachstelle
ausnutzen, um beliebigen Programmcode auszuführen.

Im Kontext des Oracle Critical Patch Update Advisory Juli 2017 besteht diese
leicht ausnutzbare Schwachstelle in diversen Komponenten verschiedener
Oracle Produkte. Ein entfernter, einfach authentisierter Angreifer kann die
Schwachstelle über das HTTP-Protokoll ausnutzen und die jeweils betroffene
Komponente kompromittieren und vollständig übernehmen.

CVE-2015-7940: Schwachstelle in bouncycastle ermöglicht Umgehen von
Sicherheitsvorkehrungen

In ‘bouncycastle’ Versionen älter als 1.51 existiert eine Schwachstelle,
welche sogenannte ‘invalid curve’-Angriffe gegen TLS-Implementierungen
basierend auf elliptischen Kurven ermöglicht. Hierbei zwingt ein Angreifer
einen Server dazu, für die Berechnung des asymmetrischen Schlüssels (für den
anschließenden symmetrischen Schlüsselaustausch), anstelle eines Punktes auf
einer als sicher empfohlenen elliptischen Kurve, einen Punkt außerhalb der
definierten Kurve zu verwenden. Wenn dieser Punkt nun zu einer anderen Kurve
gehört, die nur aus wenigen Punkten besteht, ist es dem Angreifer möglich,
mit nur wenigen Anfragen durch Ausprobieren den auf der Elliptic Curve
Cryptography basierenden privaten Schlüssel des Servers zu ermitteln. Ein
entfernter, nicht authentisierter Angreifer kann diese Schwachstelle
ausnutzen, um Sicherheitsvorkehrungen zu umgehen und in der Folge, als
Man-in-the-Middle, vertrauliche Informationen aus verschlüsselten
Verbindungen auszuspähen.

Im Kontext des Oracle Critical Patch Update Advisory Juli 2017 besteht diese
leicht ausnutzbare Schwachstelle in mehreren Komponenten verschiedener
Oracle Produkte. Ein entfernter, nicht authentisierter Angreifer kann die
Schwachstelle über das HTTPS-Protokoll ausnutzen und auf sämtliche oder
kritische Daten der jeweils betroffenen Komponente zugreifen.

CVE-2015-0899: Schwachstelle in Struts ermöglicht Umgehen von
Sicherheitsmaßnahmen

Eine Schwachstelle in Struts 1.1 und höher ermöglicht es, die vorgesehene
Überprüfung von Benutzereingaben zu umgehen. Die Überprüfungsfunktion
(Validator) in Struts enthält eine effiziente Methode Überprüfungsregeln,
die über mehrere Seiten gelten, zu definieren (MultiPageValidator). Durch
das Ausnutzen der Schwachstelle können diese Regeln beim Übergang der
Anzeige der Seiten umgangen werden. Die Schwachstelle ist auch dann
ausnutzbar, wenn die betroffene Methode (Validator) nicht explizit
aufgerufen wird.

CVE-2015-2808: Schwachstelle in der TLS/SSL-Protokoll-Implementierung

Der RC4-Algorithmus, wie er im TLS-Protokoll und SSL-Protokoll verwendet
wird, kombiniert während der Initialisierungsphase Statusdaten nicht korrekt
mit Schlüsseldaten. Ein entfernter, nicht authentifizierter Angreifer kann
durch Ausnutzen dieser Schwachstelle leichter den Klartext der initialen
Bytes eines Streams ermitteln, indem er den Netzwerkverkehr belauscht, der
gelegentlich auf Schlüsseln beruht, die von dieser Invarianzschwäche
betroffen sind, um in der Folge einen Brute-Force-Angriff unter Verwendung
von LSB-Werten gegen die Verschlüsselung durchzuführen (“Bar
Mitzvah”-Problem) und dadurch Informationen auszuspähen.

CVE-2003-1418: Schwachstelle in Apache HTTP-Server ermöglicht das Ausspähen
von Informationen

Eine Schwachstelle im Apache HTTP-Server ermöglicht einem entfernten, nicht
authentisierten Angreifer das Ausspähen von Informationen über (1) den
ETag-Header oder (2) multipart MIME-Boundary.

CVE-2013-2566: Schwäche von TLS durch Verwendung von RC4

Es wurden verschiedene Schwächen der RC4-Chiffre beim Einsatz in TLS
beschrieben, die zur Umgehung von Sicherheitsfunktionen ausgenutzt werden
können. Ein entfernter, nicht authentifizierter Angreifer kann diese
Schwachstelle ausnutzen, um Sicherheitsfunktionen zu umgehen und potentiell
sicherheitskritische Informationen erlangen.

CVE-2014-0114: Schwachstelle in Apache Struts ermöglicht Ausführung
beliebigen Programmcodes

Das “ActionForm” Objekt in Apache Struts 1.x bis 1.3.10 ist fehlerhaft. Ein
entfernter, nicht authentifizierter Angreifer kann beliebigen Programmcode
zur Ausführung bringen, indem er den “Classloader” manipuliert und den Code
durch die “Class-Parameter” der “getClass” Methode einschleust.

Im Kontext des Oracle Critical Patch Update Advisory CPUApr2017 betrifft
diese Schwachstelle unter anderem die WebLogic Server Komponente von Oracle
Fusion Middleware.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1821/

Schwachstelle CVE-2013-2566 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-2566

Schwachstelle CVE-2014-0114 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0114

Schwachstelle CVE-2003-1418 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2003-1418

Schwachstelle CVE-2015-2808 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2808

Schwachstelle CVE-2015-0899 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0899

Schwachstelle CVE-2015-7940 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7940

Schwachstelle CVE-2015-7501 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7501

Schwachstelle CVE-2015-5254 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5254

Schwachstelle CVE-2015-5351 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5351

Schwachstelle CVE-2016-0706 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0706

Schwachstelle CVE-2016-0714 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0714

Schwachstelle CVE-2016-0763 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0763

Schwachstelle CVE-2016-1950 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1950

Schwachstelle CVE-2016-1979 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1979

Schwachstelle CVE-2016-1181 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1181

Schwachstelle CVE-2016-1182 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1182

Schwachstelle CVE-2016-2834 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2834

Schwachstelle CVE-2016-3092 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3092

Schwachstelle CVE-2016-0635 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0635

Schwachstelle CVE-2016-2183 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2183

Schwachstelle CVE-2016-6814 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-6814

Schwachstelle CVE-2017-5662 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5662

Oracle Critical Patch Update Advisory Oktober 2017 – CPUOct2017 (Oracle Fusion
Middleware):
http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html#AppendixFMW

Oracle Fusion Middleware CPUOct 017 Risk Matrix:
http://www.oracle.com/technetwork/security-advisory/cpuoct2017verbose-3236627.html#FMW

Schwachstelle CVE-2017-10026 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10026

Schwachstelle CVE-2017-10033 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10033

Schwachstelle CVE-2017-10034 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10034

Schwachstelle CVE-2017-10037 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10037

Schwachstelle CVE-2017-10051 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10051

Schwachstelle CVE-2017-10055 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10055

Schwachstelle CVE-2017-10060 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10060

Schwachstelle CVE-2017-10152 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10152

Schwachstelle CVE-2017-10154 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10154

Schwachstelle CVE-2017-10163 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10163

Schwachstelle CVE-2017-10166 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10166

Schwachstelle CVE-2017-10259 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10259

Schwachstelle CVE-2017-10270 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10270

Schwachstelle CVE-2017-10271 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10271

Schwachstelle CVE-2017-10334 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10334

Schwachstelle CVE-2017-10336 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10336

Schwachstelle CVE-2017-10352 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10352

Schwachstelle CVE-2017-10360 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10360

Schwachstelle CVE-2017-10369 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10369

Schwachstelle CVE-2017-10385 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10385

Schwachstelle CVE-2017-10391 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10391

Schwachstelle CVE-2017-10393 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10393

Schwachstelle CVE-2017-10400 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10400

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben