Security Advisory: Kwetsbaarheden Verholpen in Oracle Fusion Middleware

Inleiding

Oracle heeft recentelijk meerdere kwetsbaarheden in hun Fusion Middleware software aangepakt. Deze kwetsbaarheden zijn van dien aard dat ze potentieel ernstige gevolgen kunnen hebben als ze door kwaadwillenden worden uitgebuit, waaronder een Denial-of-Service (DoS), toegang tot gevoelige gegevens, systeemcompromittering, en meer. In dit document worden de details van de verholpen kwetsbaarheden, de mogelijke impact, de betrokken versies en platforms, en de beschikbare updates besproken.

Tabel met Belangrijke Informatie

Publicatie	Kans	Schade
Versie 1.00	medium	high	Vandaag

Kenmerken van de Kwetsbaarheden

Er zijn verschillende soorten kwetsbaarheden verholpen in Oracle Fusion Middleware, waaronder:

1. Path Traversal: Onjuiste beperking van een padnaam naar een beperkte directory.
2. Improper Input Validation: Onjuiste invoervalidatie.
3. Integer Overflow or Wraparound: Geheugencorruptie door integer-overflow.
4. Uncontrolled Resource Consumption: Ongecontroleerde verbruik van bronnen.
5. Unauthorized Access: Ongeautoriseerde toegang tot bestanden of mappen.
6. Missing Authentication for Critical Functions: Ontbrekende authenticatie bij kritieke functies.
7. Improper Resource Management: Onjuiste afsluiting of vrijgave van hulpbronnen.
8. Exposure of Sensitive Information: Blootstelling van gevoelige gegevens aan ongeautoriseerde actoren.
9. Heap-based Buffer Overflow: Fout in het geheugenbeheer (heap-gebaseerde buffer overflow).
10. Improper Certificate Validation: Onjuiste controle van certificaatintrekking.
11. Use After Free: Geheugencorruptie door gebruik van bevrijd geheugen.
12. Open Redirect: URL-omleiding naar een niet-vertrouwde site.
13. Out-of-bounds Write: Schrijven buiten de toegestane geheugenbuffer.
14. Insecure Temporary File Creation: Onveilige aanmaak van tijdelijke bestanden.
15. Server-Side Request Forgery (SSRF): Een server kan verzoeken sturen naar door de aanvaller gekozen locaties.
16. Truncation of Security-relevant Information: Inkorting van veiligheidsrelevante informatie.
17. Improper Neutralization of Special Characters: Onjuiste neutralisatie van speciale tekens in data-output.
18. Resource Exhaustion: Allocatie van middelen zonder limieten of drempels.
19. Weak Cryptographic Hashing: Gebruik van zwakke hash-algoritmen.
20. Improper Access Control: Onjuiste toegangscontrole.

Omschrijving van de Risico’s

De kwetsbaarheden in Oracle Fusion Middleware kunnen door een kwaadwillende gebruikt worden voor verschillende soorten aanvallen zoals:

• Denial-of-Service (DoS): Het ontoegankelijk maken van de dienst.
• Toegang tot Gevoelige Gegevens: Ongeautoriseerde toegang tot gevoelige informatie.
• Toegang tot Systeemgegevens: Ongeautoriseerde toegang tot systeemconfiguratie.
• Manipulatie van Gegevens: Ongeautoriseerde wijziging van data.
• Remote Code Execution: Uitvoeren van kwaadaardige code met gebruikersrechten.

Betrokken Versies en Producten

Platforms	Producten	Versies
	oracle fusion_middleware,	12.2.1.4.0 – 12.2.1.4.0
	oracle fusion_middleware_mapviewer

Oplossingen

Oracle heeft updates uitgebracht om de genoemde kwetsbaarheden te verhelpen. Gebruikers en beheerders worden sterk aangeraden deze updates zo spoedig mogelijk te installeren. Zie onderstaande links voor de volledige details van de updates en beveiligingsadviezen:

• Link naar NVD CVE-2020-1945
• Link naar NVD CVE-2020-13956
• Link naar Oracle Security Updates

CVE’s

Een lijst van alle betrokken CVE’s:

• CVE-2020-1945
• CVE-2020-13956
• CVE-2021-29425
• CVE-2021-37533
• CVE-2022-40152
• CVE-2022-45378
• CVE-2023-2976
• CVE-2023-4759
• CVE-2023-5072

…en vele anderen. Een volledige lijst is beschikbaar in het oorspronkelijke beveiligingsadvies.

Door gebruik van deze security advisory gaat u akkoord met de volgende voorwaarden. Ondanks dat het NCSC de grootste zorgvuldigheid betracht bij de samenstelling, kan het NCSC niet instaan voor de volledigheid, juistheid of actualiteit van dit advies. Het advies is uitsluitend bedoeld voor algemene informatie. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik van dit advies. Op dit advies is Nederlands recht van toepassing en geschillen zullen worden voorgelegd aan de bevoegde rechter te Den Haag.

Voor meer informatie en updates, bezoek de officiële NCSC-website.

Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.

Mitigerende maatregel beschikbaar op advisories.ncsc.nl

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----