Kurzinfo CB-K17/1750

5 Risiko: sehr hoch
Information zu Schwachstellen und Sicherheitslücken
Titel: Oracle Fusion Middleware: Mehrere Schwachstellen ermöglichen u.a. die Übernahme von Anwendungen
Datum: 18.10.2017
Software: Oracle Access Manager 11.1.2.3.0, Oracle API Gateway 11.1.2.4.0, Oracle Business Intelligence 11.1.1.7.0 Enterprise, Oracle Business Intelligence 11.1.1.9.0 Enterprise, Oracle Business Intelligence 12.2.1.1.0 Enterprise, Oracle Business Intelligence 12.2.1.2.0 Enterprise, Oracle Business Process Management Suite 11.1.1.7.0, Oracle Business Process Management Suite 11.1.1.9.0, Oracle Business Process Management Suite 12.1.3.0.0, Oracle Business Process Management Suite 12.2.1.1.0, Oracle Business Process Management Suite 12.2.1.2.0, Oracle Directory Server 11.1.1.7.0, Oracle Endeca Information Discovery Integrator 2.4, Oracle Endeca Information Discovery Integrator 3.0, Oracle Endeca Information Discovery Integrator 3.1, Oracle Endeca Information Discovery Integrator 3.2, Oracle Fusion Middleware, Oracle Glassfish Server 3.0.1, Oracle Glassfish Server 3.1.2, Oracle Goldengate Management Pack 11.2.1.0.12, Oracle HTTP Server 11.1.1.7.0, Oracle HTTP Server 11.1.1.9.0, Oracle HTTP Server 12.1.3.0.0, Oracle HTTP Server 12.2.1.1.0, Oracle HTTP Server 12.2.1.2.0, Oracle Identity Manager 11.1.2.3.0, Oracle Identity Manager Connector 9.1.1.5.0, Oracle iPlanet Web Server 7.0, Oracle JDeveloper 12.1.3.0.0, Oracle JDeveloper 12.2.1.2.0, Oracle Managed File Transfer (MFT) 12.1.3.0.0, Oracle Managed File Transfer (MFT) 12.2.1.1.0, Oracle Managed File Transfer (MFT) 12.2.1.2.0, Oracle BI Publisher 11.1.1.7.0, Oracle BI Publisher 11.1.1.9.0, Oracle BI Publisher 12.2.1.1.0, Oracle BI Publisher 12.2.1.2.0, Oracle Outside In Technology 8.5.3.0, Oracle Platform Security Services 11.1.1.9.0, Oracle Platform Security Services 12.1.3.0.0, Oracle SOA Suite 11.1.1.7.0, Oracle Virtual Directory 11.1.1.7.0, Oracle Virtual Directory 11.1.1.9.0, Oracle WebCenter Content 11.1.1.9.0, Oracle WebCenter Content 12.2.1.1.0, Oracle WebCenter Content 12.2.1.2.0, Oracle WebCenter Sites 11.1.1.8.0, Oracle WebCenter Sites 12.2.1.2.0, Oracle Weblogic Server 10.3.6.0, Oracle Weblogic Server 12.1.3.0, Oracle Weblogic Server 12.2.1.1, Oracle Weblogic Server 12.2.1.2
Plattform: GNU/Linux, Microsoft Windows , Oracle Solaris
Auswirkung: Erlangen von Administratorrechten
Remoteangriff: Ja
Risiko: sehr hoch
CVE Liste: CVE-2003-1418, CVE-2013-2566, CVE-2014-0114, CVE-2015-0899, CVE-2015-2808, CVE-2015-5254, CVE-2015-5351, CVE-2015-7501, CVE-2015-7940, CVE-2016-0635, CVE-2016-0706, CVE-2016-0714, CVE-2016-0763, CVE-2016-1181, CVE-2016-1182, CVE-2016-1950, CVE-2016-1979, CVE-2016-2183, CVE-2016-2834, CVE-2016-3092, CVE-2016-6814, CVE-2017-10026, CVE-2017-10033, CVE-2017-10034, CVE-2017-10037, CVE-2017-10051, CVE-2017-10055, CVE-2017-10060, CVE-2017-10152, CVE-2017-10154, CVE-2017-10163, CVE-2017-10166, CVE-2017-10259, CVE-2017-10270, CVE-2017-10271, CVE-2017-10334, CVE-2017-10336, CVE-2017-10352, CVE-2017-10360, CVE-2017-10369, CVE-2017-10385, CVE-2017-10391, CVE-2017-10393, CVE-2017-10400, CVE-2017-5662
Bezug: Oracle Critical Patch Update Advisory Oktober 2017 - CPUOct2017 (Oracle Fusion Middleware)
Revisions Historie
  • Version: 1

    Neues Advisory

Beschreibung

Oracle Access Manager ist eine Software zur Authentifizierung und zur Administration von Benutzerrechten.

Oracle API Gateway stellt einen Überbau zur sicheren Erstellung und Verwaltung von Programmschnittstellen (APIs) zur Verfügung, über die beispielsweise mobile Endgeräte mit bestehenden Netzwerken verbunden und Identitäten verwaltet werden können. Entwickelt wurde das Gateway für Service-Oriented-Architecture (SOA)-Anwendungen in firmeneigenen Netzwerken oder der Cloud.

Oracle Business Intelligence bietet eine Möglichkeit zur Darstellung und Analyse von Prozessen und Abläufen in großen Unternehmen.

Oracle Business Process Management Suite stellt benutzerfreundliche Modellierungs- und Optimierungswerkzeuge, Tools für die Systemintegration, die Überwachung von Geschäftsaktivitäten für Dashboards sowie eine Vielzahl an Task- und Fallmanagementfunktionen für Endnutzer bereit.

Der Oracle Directory Server (ehemals Sun Java System Directory Server) ist ein in C geschriebener LDAP Directory Server und DSML (Directory Services Markup Language) Server. Die Software ist Teil des Java Enterprise Systems von Oracle.

Oracle Endeca Information Discovery Integrator ist eine visuelle Datenintegrationsumgebung zum Sammeln von Inhalten aus begrenzten Dateien, Dateisystemen, JDBC-Datenbanken und Websites. Sie beinhaltet das Information Acquisition System (IAS).

Oracle Fusion Middleware (OFM) besteht aus einer Reihe von Produkten für die Entwicklung, den Aufbau und Betrieb einer SOA-Architektur. Hierzu gehört auch das Oracle Portal.

GlassFish ist ein Open-Source Anwendungsserver für Java EE.

Das Management Pack für GoldenGate beinhaltet Oracle GoldenGate Monitor und Oracle GoldenGate Director, die Management und Monitoring von Goldengate-Prozessen unterstützen.

Der Oracle HTTP Server ist Teil der Oracle Fusion Middleware. Die Basis des Oracle HTTP Server ist der Open Source Webserver Apache.

Oracle Identity Manager (OIM) ist eine Anwendung für große Unternehmen, mit der Benutzerkonten und die zugehörigen Zugangs- und Zugriffsrechte verwaltet und kontrolliert werden. Es ist ein Bestandteil der Oracle Identity Management Platform.

Der Oracle Identity Manager Connector dient zur Integration von Oracle Identity Manager in eine bestimmte Anwendung eines Drittanbieters.

Der Oracle iPlanet Web Server ist eine Software, die sichere Infrastruktur für alle Webtechnologien und -Programme bietet.

Durch Oracle JDeveloper als freie Programmierumgebung soll die Entwicklung von Java EE-basierten Anwendungen erleichtert werden.

Oracle Managed File Transfer (MFT) ist eine Lösung für den sicheren Datenaustausch zwischen Abteilungen und externen Partnern oder Kunden. Es schützt die Übertragung der Dateien von Ende zu Ende.

Oracle Business Intelligence Publisher (Oracle BI Publisher) ist eine Software zur Berichtserstellung. Der BI Publisher beinhaltet ein Autorensystem zur Veröffentlichung der Berichte und Möglichkeiten zur Integration verschiedener Datenquellen.

Oracle Outside In stellt eine Lösung für den Zugang, die Verwaltung sowie Umwandlung von Dateiformaten zur Verfügung.

Oracle Platform Security Services (OPSS) ist ein Sicherheits-Framework für Java Standard Edition (Java SE) und Java Enterprise Edition (Java EE)-Anwendungen.

Die Oracle SOA Suite ist eine Anwendung zur Bereitstellung und Verwaltung von Service-orientierten Architekturen. Sie ist Teil der Oracle Fusion Middleware Produktfamilie.

Oracle Virtual Directory ist ein LDAP-Dienst, der eine einzige, abstrahierte Ansicht von Unternehmensverzeichnisservern und Datenbanken von verschiedenen Anbietern bereitstellt.

Oracle WebCenter Content ist ein Enterprise-Conten-Management (ECM) System zur Erfassung, Verwaltung, Speicherung und Bereitstellung von Inhalten.

Oracle WebCenter Sites ist eine Anwendungsumgebung zur Erstellung und Verwaltung interaktiver Online-Erfahrungen (Webseiten).

Der WebLogic Server von Oracle ist ein Application Server für herkömmliche und Cloud-Umgebungen.

In der Oracle Fusion Middleware existieren mehrere Schwachstellen in verschiedenen Komponenten, wie z.B. WebLogic Server, Oracle BI Publisher, Oracle JDeveloper, Oracle Directory Server Enterprise Edition, Oracle Identity Manager Connector, Oracle Access Manager, Oracle GlassFish Server, Oracle HTTP Server und vielen weiteren sowie deren Unterkomponenten. Durch Ausnutzen der Schwachstellen kann ein zumeist entfernter, auch nicht authentifizierter Angreifer Informationen ausspähen, Daten manipulieren, Denial-of-Service (DoS)- und Cross-Site-Scripting-Angriffe durchführen, Sicherheitsvorkehrungen umgehen, beliebigen Programmcode ausführen sowie die Anwendungen WebLogic Server und Oracle Virtual Directory komplett übernehmen. Oracle stellt Sicherheitsupdates für die betroffenen Produkte zur Verfügung. In der Übersicht der behobenen Schwachstellen wird CVE-2015-2808 stellvertretend für die Schwachstelle CVE-2013-2566 aufgeführt, CVE-2016-0714 stellvertretend für CVE-2015-5351, CVE-2016-0706 und CVE-2016-0763 sowie CVE-2016-1181 stellvertretend für CVE-2014-0114, CVE-2015-0899 und CVE-2016-1182 sowie CVE-2016-2834 stellvertretend für CVE-2016-1950, CVE-2016-1979. Oracle Fusion Middleware Produkte verwenden darüber hinaus Oracle Database Komponenten, für die ein eigenes Sicherheitsupdate zur Verfügung steht.

  1. Schwachstelle CVE-2013-2566 (NVD)

  2. Schwachstelle CVE-2014-0114 (NVD)

  3. Schwachstelle CVE-2003-1418 (NVD)

  4. Schwachstelle CVE-2015-2808 (NVD)

  5. Schwachstelle CVE-2015-0899 (NVD)

  6. Schwachstelle CVE-2015-7940 (NVD)

  7. Schwachstelle CVE-2015-7501 (NVD)

  8. Schwachstelle CVE-2015-5254 (NVD)

  9. Schwachstelle CVE-2015-5351 (NVD)

  10. Schwachstelle CVE-2016-0706 (NVD)

  11. Schwachstelle CVE-2016-0714 (NVD)

  12. Schwachstelle CVE-2016-0763 (NVD)

  13. Schwachstelle CVE-2016-1950 (NVD)

  14. Schwachstelle CVE-2016-1979 (NVD)

  15. Schwachstelle CVE-2016-1181 (NVD)

  16. Schwachstelle CVE-2016-1182 (NVD)

  17. Schwachstelle CVE-2016-2834 (NVD)

  18. Schwachstelle CVE-2016-3092 (NVD)

  19. Schwachstelle CVE-2016-0635 (NVD)

  20. Schwachstelle CVE-2016-2183 (NVD)

  21. Schwachstelle CVE-2016-6814 (NVD)

  22. Schwachstelle CVE-2017-5662 (NVD)

  23. Oracle Critical Patch Update Advisory Oktober 2017 - CPUOct2017 (Oracle Fusion Middleware)

  24. Oracle Fusion Middleware CPUOct 017 Risk Matrix

  25. Schwachstelle CVE-2017-10026 (NVD)

  26. Schwachstelle CVE-2017-10033 (NVD)

  27. Schwachstelle CVE-2017-10034 (NVD)

  28. Schwachstelle CVE-2017-10037 (NVD)

  29. Schwachstelle CVE-2017-10051 (NVD)

  30. Schwachstelle CVE-2017-10055 (NVD)

  31. Schwachstelle CVE-2017-10060 (NVD)

  32. Schwachstelle CVE-2017-10152 (NVD)

  33. Schwachstelle CVE-2017-10154 (NVD)

  34. Schwachstelle CVE-2017-10163 (NVD)

  35. Schwachstelle CVE-2017-10166 (NVD)

  36. Schwachstelle CVE-2017-10259 (NVD)

  37. Schwachstelle CVE-2017-10270 (NVD)

  38. Schwachstelle CVE-2017-10271 (NVD)

  39. Schwachstelle CVE-2017-10334 (NVD)

  40. Schwachstelle CVE-2017-10336 (NVD)

  41. Schwachstelle CVE-2017-10352 (NVD)

  42. Schwachstelle CVE-2017-10360 (NVD)

  43. Schwachstelle CVE-2017-10369 (NVD)

  44. Schwachstelle CVE-2017-10385 (NVD)

  45. Schwachstelle CVE-2017-10391 (NVD)

  46. Schwachstelle CVE-2017-10393 (NVD)

  47. Schwachstelle CVE-2017-10400 (NVD)

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.