DFN-CERT-2017-2041 Oracle Fusion Middleware, Oracle Tuxedo: Mehrere Schwachstellen ermöglichen u.a. eine vollständige Komprommittierung [Linux][Unix][AIX][Solaris][Windows][Netzwerk]

DFN-CERT-2017-2041 Oracle Fusion Middleware, Oracle Tuxedo: Mehrere Schwachstellen ermöglichen u.a. eine vollständige Komprommittierung [Linux][Unix][AIX][Solaris][Windows][Netzwerk]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Oracle Fusion Middleware
Tuxedo 11.1.1
Tuxedo 12.1.1
Tuxedo 12.1.3
Tuxedo 12.2.2

Betroffene Plattformen:

GNU/Linux
HP-UX
IBM AIX
Microsoft Windows
Oracle Solaris

In der Oracle Fusion Middleware existieren mehrere Schwachstellen in der
Komponente Oracle Tuxedo (Subkomponenten: Core und Security). Durch
Ausnutzen der Schwachstellen kann ein entfernter, zumeist nicht
authentifizierter Angreifer die Anwendung Oracle Tuxedo komplett
kompromittieren und auch weitere Produkte auf betroffenen Systemen
signifikant beeinflussen. Darüber hinaus kann der Angreifer Zugriff auf
kritische Informationen erhalten.

Oracle veröffentlicht außerhalb eines regulären Patch-Tages ein ‘Oracle
Security Alert Advisory’, um über diese kritischen Schwachstellen zu
informieren und stellt Patches für Kunden mit gültigen Support-Verträgen
bereit, welche so schnell wie möglich installiert werden sollten. Ferner
weist Oracle darauf hin, dass Oracle PeopleSoft Produkte auch Oracle Tuxedo
beinhalten und verwenden, weshalb PeopleSoft Kunden diese Patches ebenfalls
einspielen sollten.

Patch:

Oracle Security Alert Advisory – CVE-2017-10269 (Oracle Fusion Middleware)

http://www.oracle.com/technetwork/security-advisory/alert-cve-2017-10269-4021872.html

CVE-2017-10278: Schwachstelle in Tuxedo ermöglicht u.a. Ausspähen von
Informationen

In der Oracle Tuxedo Komponente von Oracle Fusion Middleware (Subkomponente:
Security) existiert eine schwer auszunutzende Schwachstelle. Ein entfernter,
nicht authentisierter Angreifer mit Netzwerkzugriff über Jolt kann Oracle
Tuxedo kompromittieren und unautorisiert kritische oder alle über Oracle
Tuxedo zugänglichen Daten lesen sowie unautorisiert einige der über Oracle
Tuxedo zugänglichen Daten verändern, einfügen oder löschen und einen
partiellen Denial-of-Service (DoS)-Zustand bewirken.

CVE-2017-10272: Schwachstelle in Tuxedo ermöglicht komplette
Kompromittierung des Systems

In der Oracle Tuxedo Komponente von Oracle Fusion Middleware (Subkomponente:
Core) existiert eine einfach auszunutzende Schwachstelle. Ein entfernter,
einfach authentisierter und niedrig privilegierter Angreifer mit
Netzwerkzugriff über Jolt kann Oracle Tuxedo kompromittieren. Obwohl sich
die Schwachstelle in Oracle Tuxedo befindet, können Angriffe einen Einfluss
auf weitere Produkte haben. Ein erfolgreicher Angriff ermöglicht es dem
Angreifer, unautorisiert kritische Daten und alle über Oracle Tuxedo
zugänglichen Daten zu lesen, zu löschen, zu verändern oder neue Daten zu
erzeugen sowie einen partiellen Denial-of-Service (DoS)-Zustand zu bewirken.

CVE-2017-10269: Schwachstelle in Tuxedo ermöglicht komplette
Kompromittierung des Systems

In der Oracle Tuxedo Komponente von Oracle Fusion Middleware (Subkomponente:
Core) existiert eine einfach auszunutzende Schwachstelle. Ein entfernter,
nicht authentisierter Angreifer mit Netzwerkzugriff über Jolt kann Oracle
Tuxedo kompromittieren. Obwohl sich die Schwachstelle in Oracle Tuxedo
befindet, können Angriffe einen Einfluss auf weitere Produkte haben. Ein
erfolgreicher Angriff ermöglicht es dem Angreifer, unautorisiert kritische
Daten und alle über Oracle Tuxedo zugänglichen Daten zu lesen, zu löschen,
zu verändern oder neue Daten zu erzeugen sowie einen partiellen
Denial-of-Service (DoS)-Zustand zu bewirken.

CVE-2017-10267: Schwachstelle in Tuxedo ermöglicht Ausspähen von
Informationen

In der Oracle Tuxedo Komponente von Oracle Fusion Middleware (Subkomponente:
Core) existiert eine einfach auszunutzende Schwachstelle. Ein entfernter,
nicht authentisierter Angreifer mit Netzwerkzugriff über Jolt kann Oracle
Tuxedo kompromittieren und unautorisiert kritische Daten oder alle über
Oracle Tuxedo zugänglichen Daten lesen.

CVE-2017-10266: Schwachstelle in Tuxedo ermöglicht Ausspähen von
Informationen

In der Oracle Tuxedo Komponente von Oracle Fusion Middleware (Subkomponente:
Core) existiert eine einfach auszunutzende Schwachstelle. Ein entfernter,
nicht authentisierter Angreifer mit Netzwerkzugriff über Jolt kann Oracle
Tuxedo kompromittieren und unautorisiert eine Untermenge der über Oracle
Tuxedo zugänglichen Daten lesen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-2041/

Oracle Security Alert Advisory – CVE-2017-10269 (Oracle Fusion Middleware):
http://www.oracle.com/technetwork/security-advisory/alert-cve-2017-10269-4021872.html

Schwachstelle CVE-2017-10266 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10266

Schwachstelle CVE-2017-10267 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10267

Schwachstelle CVE-2017-10269 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10269

Schwachstelle CVE-2017-10272 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10272

Schwachstelle CVE-2017-10278 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10278

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben