Koelman.IT

Stay Hungry, Stay Foolish 💡


Beveiligingsadvies NCSC-2024-0299 [1.00] [M/H] Kwetsbaarheden verholpen in Oracle Analytics

Kwetsbaarheden Verholpen in Oracle Analytics

Introductie

Op deze pagina vindt u informatie over kwetsbaarheden die zijn verholpen in Oracle Analytics. Het National Cyber Security Centre (NCSC) heeft een beveiligingsadvies uitgebracht om gebruikers te informeren over de geconstateerde problemen en de mogelijke impact ervan. Deze informatie is omgezet van platte tekst naar HTML en kan mogelijk enige informatie verlies bevatten. Voor de meest accurate informatie consulteert u de signed PGP-versies van de advisories.

Overzicht van de Kwetsbaarheden

Publicatiegeschiedenis

Publicatie Kans Schade Referentie Andere Formaten
Vandaag Medium High NCSC-2024-0299 Signed-PGP CSAF PDF

Details van de Kwetsbaarheden

Kenmerken

De volgende kwetsbaarheden zijn vastgesteld en verholpen in Oracle Analytics:

  • Uncontrolled Resource Consumption: Overmatig gebruik van systeembronnen zonder beperking.
  • Improper Resource Shutdown or Release: Onjuiste afsluiting of vrijgave van systeembronnen.
  • Improper Restriction of Recursive Entity References in DTDs (‘XML Entity Expansion’): Fout in het beheersen van referenties binnen Document Type Definitions.
  • Truncation of Security-relevant Information: Data wordt ingekort waardoor elementaire beveiligingsinformatie verloren gaat.
  • Untrusted Search Path: Onveilige zoekpaden die kunnen leiden tot het uitvoeren van niet-vertrouwde code.
  • Improper Authorization: Onjuiste of ontbrekende autorisatie, waardoor onbevoegde gebruikers toegang krijgen.
  • Exposure of Sensitive Information to an Unauthorized Actor: Blootstelling van gevoelige gegevens aan onbevoegden.
  • NULL Pointer Dereference: Beheer van ongeïnitialiseerde geheugengebieden wat kan leiden tot crashes.
  • Inconsistent Interpretation of HTTP Requests (‘HTTP Request/Response Smuggling’): Verschillen in interpretatie van HTTP verzoeken tussen verschillende proxies.
  • Improper Input Validation: Fouten bij het valideren van gebruikersinvoer.
  • Loop with Unreachable Exit Condition (‘Infinite Loop’): Oneindige lus waardoor het systeem vastloopt.
  • Out-of-bounds Write: Schrijven buiten de toegestane geheugenlimieten.
  • Uncontrolled Recursion: Zonder limiet of bescherming recursieve functies uitvoeren.

Omschrijving

De hierboven genoemde kwetsbaarheden kunnen door kwaadaardige actoren worden misbruikt voor verschillende aanvallen die kunnen leiden tot:

  1. Denial-of-Service (DoS): Het onbruikbaar maken van het systeem door overbelasting.
  2. Toegang tot gevoelige gegevens: Ongeautoriseerde blootstelling van vertrouwelijke informatie.
  3. Toegang tot systeemgegevens: Mogelijkheid om systeeminformatie ongemerkt te bekijken of te wijzigen.
  4. Manipulatie van gegevens: Het aanpassen of vernietigen van belangrijke data.
  5. (Remote) Code Execution: Het uitvoeren van kwaadaardige code op een systeem met gebruikersrechten.

Bereik

De kwetsbaarheden zijn van toepassing op de volgende producten en versies:

  • Platforms: Oracle Analytics Desktop
  • Producten: Oracle Analytics
  • Versies: 6.4.0.0.0 tot 7.0.0.0.0

Oplossingen

Oracle heeft updates uitgebracht om de genoemde kwetsbaarheden te verhelpen. Voor meer gedetailleerde informatie over de specifieke updates en referenties, raadpleeg de volgende links:

CVE-2021-23926, CVE-2022-21797, CVE-2023-1370, CVE-2023-1436, en andere relevante CVE’s.

Door gebruik te maken van dit beveiligingsadvies accepteert u de volgende voorwaarden:

  • Nauwkeurigheid: Het NCSC streeft naar de grootst mogelijke zorgvuldigheid, maar kan niet instaan voor de volledigheid en juistheid van dit advies.
  • Gebruik: De informatie is bedoeld als algemene informatie voor professionele partijen; er kunnen geen rechten aan worden ontleend.
  • Aansprakelijkheid: Het NCSC en de Staat zijn niet aansprakelijk voor eventuele schade ontstaan door het gebruik van dit advies.
  • Juridische Aspecten: Op dit beveiligingsadvies is Nederlands recht van toepassing en geschillen zullen worden voorgelegd aan de bevoegde rechter te Den Haag.

Voor de meest recente en gedetailleerde informatie, controleer altijd de officiële bronnen en advisories van het NCSC.

Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.

Mitigerende maatregel beschikbaar op advisories.ncsc.nl

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----