DFN-CERT-2018-0100 Oracle Fusion Middleware: Mehrere Schwachstellen ermöglichen u.a. die Übernahme von Anwendungen [Linux][Unix][Solaris][Windows]

DFN-CERT-2018-0100 Oracle Fusion Middleware: Mehrere Schwachstellen ermöglichen u.a. die Übernahme von Anwendungen [Linux][Unix][Solaris][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Oracle Access Manager 10.1.4.3.0
Oracle Access Manager 11.1.2.3.0
Oracle Business Intelligence 11.1.1.7.0 Enterprise
Oracle Business Intelligence 11.1.1.9.0 Enterprise
Oracle Business Intelligence 12.2.1.2.0 Enterprise
Oracle Business Intelligence 12.2.1.3.0 Enterprise
Oracle Directory Server 11.1.1.7.0
Oracle Endeca Information Discovery Integrator 3.1
Oracle Endeca Information Discovery Integrator 3.2
Oracle Fusion Middleware
Oracle HTTP Server 11.1.1.7.0
Oracle HTTP Server 11.1.1.9.0
Oracle HTTP Server 12.1.3.0.0
Oracle HTTP Server 12.2.1.2.0
Oracle HTTP Server 12.2.1.3.0
Oracle Identity Manager 11.1.2.3.0
Oracle Identity Manager Connector 9.0.4.20.6
Oracle Identity Manager Connector 9.0.4.21.0
Oracle Identity Manager Connector 9.0.4.25.4
Oracle Internet Directory 11.1.1.7.0
Oracle Internet Directory 11.1.1.9.0
Oracle Internet Directory 12.2.1.3.0
Oracle iPlanet Web Server 7.0
Oracle JDeveloper 11.1.1.2.4
Oracle JDeveloper 11.1.1.7.0
Oracle JDeveloper 11.1.1.7.1
Oracle JDeveloper 11.1.1.9.0
Oracle JDeveloper 11.1.2.4.0
Oracle JDeveloper 12.1.3.0.0
Oracle JDeveloper 12.2.1.2.0
Oracle Mobile Security Suite 3.0.1
Oracle Tuxedo System and Applications Monitor (TSAM) 12.1.3.0.0
Oracle WebCenter Content 11.1.1.9.0
Oracle WebCenter Content 12.2.1.2.0
Oracle WebCenter Content 12.2.1.3.0
Oracle WebCenter Portal 11.1.1.9.0
Oracle WebCenter Portal 12.2.1.2.0
Oracle WebCenter Portal 12.2.1.3.0
Oracle WebCenter Sites 11.1.1.8.0
Oracle Weblogic Server 10.3.6.0.0
Oracle Weblogic Server 12.1.3.0.0
Oracle Weblogic Server 12.2.1.2.0
Oracle Weblogic Server 12.2.1.3.0

Betroffene Plattformen:

GNU/Linux
Microsoft Windows
Oracle Solaris

In der Oracle Fusion Middleware existieren mehrere Schwachstellen in
verschiedenen Komponenten, wie z.B. WebLogic Server, Oracle JDeveloper,
Oracle Directory Server Enterprise Edition, Oracle Identity Manager
Connector, Oracle Access Manager, Oracle HTTP Server und vielen weiteren
sowie deren Unterkomponenten. Durch Ausnutzen der Schwachstellen kann ein
zumeist entfernter, auch nicht authentifizierter Angreifer Informationen
ausspähen, Daten manipulieren, Denial-of-Service (DoS)- und
Cross-Site-Scripting-Angriffe durchführen, Sicherheitsvorkehrungen umgehen,
beliebigen Programmcode ausführen sowie die Anwendungen Oracle Directory
Server Enterprise Edition, Oracle Internet Directory, Oracle iPlanet Web
Server, Oracle WebLogic Server, Oracle Identity Manager, Oracle Identity
Manager Connector, Oracle Endeca Information Discovery Integrator, Oracle
Tuxedo System and Applications Monitor komplett übernehmen.

Oracle stellt Sicherheitsupdates für die betroffenen Produkte zur Verfügung.
In der Übersicht der behobenen Schwachstellen wird CVE-2015-7501
stellvertretend für CVE-2015-4852; CVE-2016-1182 stellvertretend für
CVE-2014-0114 und CVE-2016-1181; CVE-2016-2107 stellvertretend für
CVE-2016-2105, CVE-2016-2106 und CVE-2016-2109; CVE-2016-2179
stellvertretend für CVE-2016-2107; CVE-2016-6304 stellvertretend für
CVE-2016-2177, CVE-2016-2178, CVE-2016-2179, CVE-2016-2180, CVE-2016-2181,
CVE-2016-2182, CVE-2016-2183, CVE-2016-6302, CVE-2016-6303, CVE-2016-6305,
CVE-2016-6306, CVE-2016-6307, CVE-2016-6308, CVE-2016-6309 und
CVE-2016-7052; CVE-2017-3732 stellvertretend für CVE-2016-2177,
CVE-2016-2178, CVE-2016-2179, CVE-2016-2180, CVE-2016-2181, CVE-2016-2182,
CVE-2016-2183, CVE-2016-6302, CVE-2016-6303, CVE-2016-6304, CVE-2016-6305,
CVE-2016-6306, CVE-2016-6307, CVE-2016-6308, CVE-2016-6309, CVE-2016-7052,
CVE-2016-7055, CVE-2017-3730, CVE-2017-3731 und CVE-2017-3733 aufgeführt.

Oracle Fusion Middleware Produkte verwenden darüber hinaus Oracle Database
Komponenten, für die ein eigenes Sicherheitsupdate zur Verfügung steht.

Patch:

Oracle Critical Patch Update Advisory Januar 2018 – CPUJan2018 (Oracle
Fusion Middleware)

http://www.oracle.com/technetwork/security-advisory/cpujan2018-3236628.html#AppendixFMW

CVE-2018-2715: Schwachstelle in Fusion Middleware ermöglicht Ausspähen von
Informationen

Oracle Fusion Middleware enthält eine Schwachstelle in der Komponente
Business Intelligence Enterprise. Die leicht auszunutzende Schwachstelle in
der Unterkomponente Platform Security kann von einem entfernten, einfach
authentisierten Angreifer zu einem Angriff ausgenutzt werden und nicht
autorisierten Zugriff auf alle Daten ermöglichen.

CVE-2018-2713: Schwachstelle in Fusion Middleware ermöglicht Manipulieren
von Daten

Oracle Fusion Middleware enthält eine Schwachstelle in der Komponente
WebCenter Portal. Die leicht auszunutzende Schwachstelle in der
Unterkomponente Spaces Application kann von einem entfernten, nicht
authentisierten Angreifer ausgenutzt werden. Ein erfolgreicher Angriff
erfordert die Interaktion einer anderen Person und ermöglicht dem Angreifer
alle alle dem Oracle WebCenter zugänglichen Daten zu verändern, zu löschen
oder neue Daten anzulegen.

CVE-2018-2711: Schwachstelle in Fusion Middleware ermöglicht Ausspähen von
Informationen und Manipulation von Daten

In der Subkomponente Security Framework der Komponente Oracle JDeveloper der
Oracle Fusion Middleware existiert eine leicht ausnutzbare Schwachstelle.
Ein entfernter, nicht authentisierter Angreifer kann die Schwachstelle über
das HTTP-Protokoll ausnutzen und Oracle JDeveloper kompromittieren. Der
Angreifer kann dadurch unerlaubt lesend auf kritische oder auf sämtliche der
über Oracle JDeveloper erreichbaren Daten zugreifen und einige der Daten
auch ändern und löschen beziehungsweise neue erstellen.

CVE-2018-2625: Schwachstelle in Oracle Fusion Middleware ermöglicht das
Ausspähen von Informationen

Die Komponente WebLogic Server von Oracle Fusion Middleware enthält eine
Schwachstelle in der Unterkomponente Web Services. Ein entfernter, nicht
authentisierter Angreifer kann die leicht auszunutzende Schwachstelle
ausnutzen, um lesenden Zugriff auf einen Teil der dem WebLogic Server
zugänglichen Daten zu erlangen.

CVE-2018-2601: Schwachstelle in Fusion Middleware ermöglicht Übernahme einer
Komponente

In der Subkomponente Oracle Directory Services Manager der Komponente Oracle
Internet Directory der Oracle Fusion Middleware existiert eine schwer
ausnutzbare Schwachstelle. Ein entfernter, nicht authentisierter Angreifer
mit erweiterten Privilegien kann die Schwachstelle über das HTTP-Protokoll
ausnutzen und Oracle Internet Directory kompromittieren, wodurch er die
Komponente vollständig übernehmen kann.

CVE-2018-2584: Schwachstelle in Fusion Middleware ermöglicht Ausspähen von
Informationen

Die Komponente WebCenter Sites von Oracle Fusion Middleware enthält eine
Schwachstelle in der Unterkomponente Advanced UI. Ein entfernter, einfach
authentisierter Angreifer kann die leicht auszunutzende Schwachstelle
ausnutzen, um lesenden Zugriff auf einen Teil der über WebCenter Sites
zugänglichen Daten zu erlangen.

CVE-2018-2564 CVE-2018-2596: Schwachstellen in Fusion Middleware ermöglichen
Ausspähen von Informationen und Manipulation von Daten

In der Subkomponente Content Server der Komponente Oracle WebCenter Content
der Oracle Fusion Middleware existieren zwei leicht ausnutzbare
Schwachstellen. Ein entfernter, nicht authentisierter Angreifer kann die
Schwachstellen über das HTTP-Protokoll ausnutzen und Oracle WebCenter
Content kompromittieren. Der Angreifer kann dadurch unerlaubt kritische oder
sämtliche Daten der über Oracle WebCenter Content erreichbaren Daten ändern
und löschen beziehungsweise neue erstellen und einige der Daten auch lesen.

CVE-2018-2561: Schwachstelle in Oracle Fusion Middleware ermöglicht einen
Denial-of-Service Angriff

Die Komponente HTTP Server von Oracle Fusion Middleware enthält eine
Schwachstelle in der Unterkomponente Web-Listener. Ein entfernter, einfach
authentisierter Angreifer kann die leicht auszunutzende Schwachstelle
ausnutzen, um einen Denial-of-Service Angriff durchzuführen.

CVE-2017-10273: Schwachstelle in Fusion Middleware ermöglicht
Denial-of-Service-Angriff, Ausspähen von Informationen und Manipulation von
Daten

In der Subkomponente Deployment der Komponente Oracle JDeveloper der Oracle
Fusion Middleware existiert eine schwer ausnutzbare Schwachstelle. Ein
lokaler, einfach authentisierter Angreifer mit erweiterten Privilegien kann
die Schwachstelle ausnutzen und Oracle JDeveloper kompromittieren. Der
Angreifer kann dadurch einen Denial-of-Service (DoS)-Zustand herbeiführen
und unerlaubt lesend auf eine Teilmenge der über Oracle JDeveloper
erreichbaren Daten zugreifen und einige der Daten auch ändern und löschen
beziehungsweise neue erstellen.

CVE-2017-10262: Schwachstelle in Fusion Middleware ermöglicht Ausspähen von
Informationen

In der Subkomponente Web Server Plugin der Komponente Oracle Access Manager
der Oracle Fusion Middleware existiert eine schwer ausnutzbare
Schwachstelle. Ein entfernter, nicht authentisierter Angreifer kann die
Schwachstelle über das HTTPS-Protokoll ausnutzen und Oracle Access Manager
kompromittieren. Der Angreifer kann dadurch unerlaubt lesend auf kritische
oder auf sämtliche der über Oracle Access Manager erreichbaren Daten
zugreifen.

CVE-2017-10068: Schwachstelle in Fusion Middleware ermöglicht Ausspähen von
Informationen und Manipulation von Daten

In der Subkomponente Analytics Web Dashboards der Komponente Oracle Business
Intelligence Enterprise Edition der Oracle Fusion Middleware existiert eine
leicht ausnutzbare Schwachstelle. Ein entfernter, nicht authentisierter
Angreifer kann die Schwachstelle über das HTTP-Protokoll ausnutzen und
Oracle Business Intelligence Enterprise Edition kompromittieren. Der
Angreifer kann dadurch unerlaubt lesend auf kritische oder auf sämtliche der
über Oracle Business Intelligence Enterprise Edition erreichbaren Daten
zugreifen und einige der Daten auch ändern und löschen beziehungsweise neue
erstellen.

CVE-2017-10352: Schwachstelle in Fusion Middleware ermöglicht
Denial-of-Service-Angriff, Ausspähen von Informationen und Manipulation von
Daten

In der Subkomponente WLS-WebServices der Komponente Oracle WebLogic Server
der Oracle Fusion Middleware existiert eine leicht ausnutzbare
Schwachstelle. Ein entfernter, nicht authentisierter Angreifer kann die
Schwachstelle über das HTTP-Protokoll ausnutzen und Oracle WebLogic Server
kompromittieren. Der Angreifer kann dadurch einen vollständigen
Denial-of-Service (DoS)-Zustand herbeiführen und unerlaubt lesend auf eine
Teilmenge der über Oracle WebLogic Server erreichbaren Daten zugreifen und
einige der Daten auch ändern und löschen beziehungsweise neue erstellen.

CVE-2017-12617: Schwachstelle in Apache Tomcat ermöglicht Ausführung
beliebigen Programmcodes

Eine Schwachstelle im Apache Tomcat basiert auf einem nicht näher
beschriebenen Fehler im Kontext der erlaubten Benutzung von ‘HTTP PUT’. Die
Verwendung von ‘HTTP PUT’ wird beispielsweise durch das Setzen des
‘readonly’ Initialisierungsparameters des Default Servlets auf ‘false’
erlaubt. Die Schwachstelle ermöglicht einem entfernten, nicht
authentisierten Angreifer über speziell präparierte Anfragen das Hochladen
beliebiger JSP-Dateien auf das Server-System. Diese JSP-Dateien können
anschließend angefragt werden, wodurch der enthaltene Programmcode durch das
Server-System zur Ausführung gebracht wird.

Im Kontext von Oracle MySQL betrifft diese Schwachstelle die Komponente
Monitoring: General (Apache Tomcat) des Produktes MySQL Enterprise Monitor.
Im Kontext der Oracle Fusion Middleware betrifft die Schwachstelle die
Komponenten Oracle Endeca Information Discovery Integrator und Oracle Tuxedo
System and Applications Monitor.

CVE-2017-9798: Schwachstelle in Apache HTTP-Server (httpd) ermöglicht
Ausspähen von Informationen

Wenn die ‘Limit’-Direktive in der ‘.htaccess’-Datei eines Benutzers gesetzt
werden kann oder wenn die ‘httpd.conf’ bestimmte Fehlkonfigurationen
enthält, existiert eine Schwachstelle in Apache HTTP-Server (httpd) bis
einschließlich der Version 2.2.34 und in den Versionen 2.4.x bis
einschließlich 2.4.27 durch Verwendung einer ungültigen HTTP-Methode.
Dadurch kann bei der Erstellung der ‘Allow’-Kopfdatei, die als Antwort auf
eine an den HTTP-Server gesandte ‘HTTP OPTIONS’-Anfrage von diesem zurück
gesendet wird, ein Use-after-free-Fehler verursacht werden, wodurch
Speicherinhalte des Serverprozessspeichers in die Kopfdatei geschrieben und
so offengelegt werden. Bei den offengelegten Speicherinhalten kann es sich
auch um sensitive Informationen des HTTP-Server handeln.

Im Kontext der Oracle Fusion Middleware betrifft diese Schwachstelle die
Komponente Web Listener des Oracle HTTP Servers.

CVE-2017-5645: Schwachstelle in Apache Log4j ermöglicht Ausführung
beliebigen Programmcodes

In Apache Log4j existiert eine Schwachstelle, die, wenn der TCP- oder der
UDP-Socketserver zum Empfang serialisierter Log-Daten verwendet werden, bei
der Deserialisierung speziell präparierter Binärdaten die Ausführung
beliebigen Programmcodes ermöglicht. Ein entfernter, nicht authentisierter
Angreifer kann beliebigen Programmcode zur Ausführung bringen.

Im Kontext der Komponente Core (Apache Log4j) im Produkt Oracle Secure
Global Desktop (SGD) sowie der Komponente Sample Apps (Apache Log4j) des
Produktes Oracle WebLogic Server kann ein entfernter, nicht authentisierter
Angreifer mit HTTP-Zugriff zur ‘Apache Log4j’-Komponente das komplette
System übernehmen.

CVE-2017-5461: Schwachstelle in Network Security Services (NSS) ermöglicht
u.a. Denial-of-Service-Angriffe

In der Network Security Services (NSS) Bibliothek besteht eine
Schwachstelle, weil bei Base64-Dekodierungsoperationen unzureichend
Pufferspeicher alloziert wird, wodurch ein Schreibzugriff auf
Speicherbereiche außerhalb der zulässigen Grenzen provoziert werden kann
(Out-of-Bounds Write). Ein entfernter, nicht authentisierter Angreifer kann
die Schwachstelle ausnutzen und die Anwendung zum Absturz bringen
(Denial-of-Service). Die Schwachstelle wird als kritisch eingestuft und
lässt sich möglicherweise für weitere Angriffe ausnutzen.

Im Kontext der Komponente Admin Console (Sun Security Libraries) der Oracle
Directory Server Enterprise Edition und der Komponente Security (NSS) des
Oracle iPlanet Web Servers der Oracle Fusion Middleware ermöglicht diese
Schwachstelle einem entfernten, nicht authentisierten Angreifer mit
Netzwerkzugriff über mehrere Protokolle die betreffenden Server komplett zu
übernehmen.

CVE-2017-3732: Schwachstelle in OpenSSL ermöglicht Ausspähen von
Informationen

In der “Montgomery Squaring” Prozedur auf x86_64 Architekturen existiert
eine Schwachstelle aufgrund einer fehlerhaften Berechnung in der Funktion
‘BN_mod_exp’. Elliptic Curve Algorithmen sind davon nicht betroffen und auch
Angriffe gegen RSA und DSA werden als sehr schwierig und deshalb als wenig
wahrscheinlich angesehen. Dagegen erscheinen Angriffe gegen Diffie Hellman
(DH) möglich, wenn persistente DH-Parameter verwendet und private Schlüssel
von vielen Clients geteilt werden. Ein entfernter, nicht authentisierter
Angreifer, der Online-Zugriff auf ein angreifbares System hat, kann diese
Schwachstelle ausnutzen, um private Schlüssel zu ermitteln und damit
sensible Informationen auszuspähen. Diese Schwachstelle ist der in OpenSSL
1.0.2e behobenen CVE-2015-3193 sehr ähnlich, muss aber gesondert behandelt
werden.

Im Kontext des Oracle Critical Patch Update Advisory Juli 2017 besteht diese
schwer ausnutzbare Schwachstelle in mehreren Komponenten verschiedener
Oracle Produkte. Ein entfernter, nicht authentisierter Angreifer kann die
Schwachstelle über das HTTPS-Protokoll ausnutzen und auf sämtliche oder
kritische Daten zugreifen, die über die jeweils betroffene Komponente
erreichbar sind.

Im Kontext des Oracle Critical Patch Update Advisory October 2017 existiert
diese schwer ausnutzbare Schwachstelle in der JD Edwards EnterpriseOne Tools
Komponente (Subkomponente: Enterprise Infrastructure SEC) und in der JD
Edwards World Security Komponente (Subkomponente: GUI / World Vision) der
Oracle JD Edwards Products. Ein entfernter, nicht authentisierter Angreifer
kann die Schwachstelle über das HTTPS-Protokoll ausnutzen und auf sämtliche
oder kritische Daten zugreifen, die über die jeweils betroffene Komponente
erreichbar sind.

Im Kontext des Oracle Critical Patch Update Advisory January 2018 existiert
diese schwer ausnutzbare Schwachstelle in der Komponente Web Server Plugin
(OpenSSL) des Oracle Access Manager der Oracle Fusion Middleware.

CVE-2016-0635: Schwachstelle in Oracle MySQL ermöglicht Erlangen von
Administratorrechten

Die Subkomponente Monitoring: General des MySQL Enterprise Monitor von
Oracle MySQL enthält eine nicht näher beschriebene, einfach auszunutzende
Schwachstelle. Ein entfernter, einfach authentifizierter Angreifer mit
niedrigen Privilegien kann diese Schwachstelle über das Protokoll TLS dazu
ausnutzen, den MySQL Enterprise Monitor zu übernehmen.

Im Kontext verschiedener Oracle Critical Patch Update Advisories besteht
diese leicht ausnutzbare Schwachstelle in mehreren Komponenten verschiedener
Oracle Produkte. Ein entfernter, einfach authentisierter Angreifer kann die
Schwachstelle über das HTTP-Protokoll ausnutzen und die jeweils betroffene
Komponente kompromittieren und vollständig übernehmen.

CVE-2016-2179: Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

Die DTLS-Implementierung in OpenSSL beschränkt die Lebenszeit von
Warteschlangeneinträgen (Queue Entries), die mit nicht verwendeten
Out-of-order-Nachrichten assoziiert sind, nicht ordentlich. Ein Angreifer
kann dadurch verursachen, dass bis zu 15 solcher Nachrichten im Puffer
verbleiben, die erst bei Beendigung der DTLS-Verbindung entfernt werden. Der
voreingestellte Maximalwert für jede der Nachrichten beträgt 100 KB. Ein
entfernter, nicht authentisierter Angreifer kann diese Schwachstelle
ausnutzen, indem er zahlreiche präparierte DTLS-Sitzungen gleichzeitig
öffnet, um einen Denial-of-Service-Zustand durch Aufbrauchen des verfügbaren
Speichers (Memory Consumption) herbeizuführen.

Im Kontext des Oracle Critical Patch Update Advisory CPUApr2017 betrifft
diese Schwachstelle unter anderem die API Gateway Komponente der Oracle
Fusion Middleware.

Im Kontext des Oracle Critical Patch Update Advisory CPUJan2018 betrifft
diese Schwachstelle die Komponente Analytics Server (OpenSSL) der Oracle
Business Intelligence Enterprise Edition der Oracle Fusion Middleware.

CVE-2016-1182: Schwachstelle in Apache Struts ermöglicht
Cross-Site-Scripting-Angriff

Falls ‘ValidatorForm’ oder ‘ValidatorActionForm’ sich im Session Scope
befinden, kann ein entfernter, nicht authentifizierter Angreifer eine
Schwachstelle ausnutzen, um die Konfiguration der Eingangsdatenvalidierung
zu ändern. Dazu gehören beispielsweise Validierungsregeln und
Fehlermeldungen. Der Angreifer kann dadurch einen
Cross-Site-Scripting-Angriff (XSS) ausführen.

Im Kontext des Oracle Critical Patch Update Advisory CPUApr2017 betrifft
diese Schwachstelle unter anderem die WebLogic Server Komponente von Oracle
Fusion Middleware und im Kontext des Oracle Critical Patch Update Advisory
CPUJan2018 die Komponente Oracle WebCenter Portal der Oracle Fusion
Middleware.

CVE-2016-2107: Schwachstelle in OpenSSL ermöglicht Umgehen von
Sicherheitsvorkehrungen

In OpenSSL existiert eine Schwachstelle, die durch den Fix zur Verhinderung
von “Lucky 13” Padding-Angriffen eingeführt wurde (CVE-2013-0169). Dabei
wurde die Padding Prüfung neu implementiert, so dass diese in konstanter
Zeit durchgeführt wird, um sicherzustellen, dass immer dieselben Bytes
gelesen und entweder gegen den MAC oder die Padding Bytes verglichen werden.
Dabei wird allerdings nicht länger geprüft, ob genügend Daten vorhanden
sind, um sowohl den MAC als auch Padding Bytes vorliegen zu haben. Ein
Man-in-the-Middle (MitM) kann diese Schwachstelle für einen ‘Padding
Oracle’-Angriff ausnutzen, um den Netzwerkverkehr zu entschlüsseln, wenn die
Verbindung AES-CBC-Chiffren verwendet und der Server den Befehlssatz AES
unterstützt. Ein entfernter, nicht authentisierter Angreifer kann
Sicherheitsvorkehrungen umgehen und in der Folge Informationen ausspähen.

Im Kontext der Komponente Oracle Mobile Security Suite der Oracle Fusion
Middleware (Subkomponente: Internal Development (OpenSSL)) ermöglicht diese
Schwachstelle darüber hinaus diese zum Hängen oder wiederholten Absturz zu
bringen (kompletter Denial-of-Service, DoS).

CVE-2015-7501: Schwachstelle in Apache Commons Collections ermöglicht
Ausführen beliebigen Programmcodes

Eine Schwachstelle in der Apache Commons Collections Java Bibliothek führt
dazu, dass eine Applikation, die speziell präparierte serialisierte Objekte
als Benutzereingabe ungeprüft akzeptiert sowie die Commons Collections im
Java “classpath” hat, dazu gebracht werden kann, beliebigen Programmcode mit
den Rechten der Anwendung auszuführen. Der Fehler liegt in der Art und
Weise, wie die Deserialisierung der Daten durch die Java InvokerTransformer
Klasse durchgeführt wird.

Die Commons Collections Java Bibliothek ist Bestandteil von vielen
Produkten, die dementsprechend verwundbar sind. Dazu zählen Jenkins, IBM
WebSphere, Oracle WebLogic und viele weitere.

Ein entfernter, nicht authentisierter Angreifer kann diese Schwachstelle
ausnutzen, um beliebigen Programmcode auszuführen.

Im Kontext der Oracle Critical Patch Update Advisories besteht diese leicht
ausnutzbare Schwachstelle in diversen Komponenten verschiedener Oracle
Produkte. Ein entfernter, einfach authentisierter Angreifer kann die
Schwachstelle über das HTTP-Protokoll ausnutzen und die jeweils betroffene
Komponente kompromittieren und vollständig übernehmen und ein entfernter,
nicht authentisierter Angreifer kann Informationen ausspähen.

CVE-2015-7940: Schwachstelle in bouncycastle ermöglicht Umgehen von
Sicherheitsvorkehrungen

In ‘bouncycastle’ Versionen älter als 1.51 existiert eine Schwachstelle,
welche sogenannte ‘invalid curve’-Angriffe gegen TLS-Implementierungen
basierend auf elliptischen Kurven ermöglicht. Hierbei zwingt ein Angreifer
einen Server dazu, für die Berechnung des asymmetrischen Schlüssels (für den
anschließenden symmetrischen Schlüsselaustausch), anstelle eines Punktes auf
einer als sicher empfohlenen elliptischen Kurve, einen Punkt außerhalb der
definierten Kurve zu verwenden. Wenn dieser Punkt nun zu einer anderen Kurve
gehört, die nur aus wenigen Punkten besteht, ist es dem Angreifer möglich,
mit nur wenigen Anfragen durch Ausprobieren den auf der Elliptic Curve
Cryptography basierenden privaten Schlüssel des Servers zu ermitteln. Ein
entfernter, nicht authentisierter Angreifer kann diese Schwachstelle
ausnutzen, um Sicherheitsvorkehrungen zu umgehen und in der Folge, als
Man-in-the-Middle, vertrauliche Informationen aus verschlüsselten
Verbindungen auszuspähen.

Im Kontext der Oracle Critical Patch Update Advisories besteht diese leicht
ausnutzbare Schwachstelle in mehreren Komponenten verschiedener Oracle
Produkte. Ein entfernter, nicht authentisierter Angreifer kann die
Schwachstelle über das HTTPS-Protokoll ausnutzen und auf sämtliche oder
kritische Daten der jeweils betroffenen Komponente lesend zugreifen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2018-0100/

Schwachstelle CVE-2015-7940 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7940

Schwachstelle CVE-2015-7501 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7501

Schwachstelle CVE-2016-2107 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2107

Schwachstelle CVE-2016-1182 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1182

Schwachstelle CVE-2016-0635 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0635

Schwachstelle CVE-2016-2179 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2179

Schwachstelle CVE-2017-3732 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3732

Schwachstelle CVE-2017-5645 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5645

Schwachstelle CVE-2017-5461 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5461

Schwachstelle CVE-2017-9798 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9798

Schwachstelle CVE-2017-12617 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-12617

Schwachstelle CVE-2017-10352 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10352

Oracle Critical Patch Update Advisory Januar 2018 – CPUJan2018 (Oracle Fusion
Middleware):
http://www.oracle.com/technetwork/security-advisory/cpujan2018-3236628.html#AppendixFMW

Oracle CPUJan2018 Risk Matrix – Fusion Middleware:
http://www.oracle.com/technetwork/security-advisory/cpujan2018verbose-3236630.html#FMW

Schwachstelle CVE-2017-10068 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10068

Schwachstelle CVE-2017-10262 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10262

Schwachstelle CVE-2017-10273 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10273

Schwachstelle CVE-2018-2561 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-2561

Schwachstelle CVE-2018-2564 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-2564

Schwachstelle CVE-2018-2584 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-2584

Schwachstelle CVE-2018-2596 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-2596

Schwachstelle CVE-2018-2601 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-2601

Schwachstelle CVE-2018-2625 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-2625

Schwachstelle CVE-2018-2711 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-2711

Schwachstelle CVE-2018-2713 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-2713

Schwachstelle CVE-2018-2715 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-2715

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben