Koelman.IT

Stay Hungry, Stay Foolish 💡


Beveiligingsadvies NCSC-2024-0292 [1.00] [M/H] Kwetsbaarheden verholpen in Oracle Essbase

In dit document wordt achtergrondinformatie verschaft over de recent verholpen kwetsbaarheden in Oracle Essbase. Deze kwetsbaarheden hadden materiële impact op de beveiliging en betrouwbaarheid van het systeem. Hieronder volgt een gedetailleerde uitleg van de kernonderdelen van deze mededeling.

Kwetsbaarheden in Oracle Essbase

Oracle heeft onlangs enkele kwetsbaarheden in hun Essbase-software aangepakt. Oracle Essbase is een krachtige, multi-dimensionale database management systeem, dat voornamelijk wordt gebruikt voor ondernemingsbrede planning, budgeting en forecasting. De gerapporteerde kwetsbaarheden zijn kritisch genoeg bevonden dat ze onmiddellijke aandacht en rectificatie vereisen.

Publicatie en Risicobeoordeling

Deze advisering is voor het eerst gepubliceerd als versie 1.00 van NCSC-2024-0292. De informatie hieronder biedt een samenvatting van de publicatie-informatie:

  • Publicatiedatum: Gisteren
  • Versie: 1.00
  • NCSC Referentie: NCSC-2024-0292

Risico en Impact

Het Nederlandse Nationaal Cyber Security Centrum (NCSC) evalueert de risico’s als volgt:

  • Kans (waarschijnlijkheid van exploitatie): Medium
  • Schade (impact van exploitatie): Hoog

Beschrijving van de Kwetsbaarheden

De kwetsbaarheden maken het mogelijk voor een kwaadwillende om:

  • Denial-of-Service (DoS) aanvallen uit te voeren: Deze aanvallen kunnen de beschikbaarheid van de diensten onderbreken.
  • Verhoogde Gebruikersrechten te verkrijgen: Dit kan leiden tot ongeautoriseerde toegang en mogelijke controle over kritieke systemen.

Getroffen Versies en Platformen

De kwetsbaarheden betreffen specifieke versies van de Oracle Essbase-software:

  • Product: Oracle Essbase
  • Versies: 21.5.3.0.0, 21.5.4.0.0, 21.5.6

Beschikbare Oplossingen

Oracle heeft patches uitgebracht om deze kwetsbaarheden te verhelpen. Het wordt sterk aangeraden om deze updates zo snel mogelijk door te voeren om de veiligheid van het systeem te waarborgen. Hieronder volgen de bronnen waar de updates en gedetailleerde informatie over de patches te vinden zijn:

Kenmerken van de Verschillende Aanvallen

Een van de specifieke kenmerken is de "Allocation of Resources Without Limits or Throttling," wat kan leiden tot de ongecontroleerde toewijzing van systeembronnen aan gebruikers, waardoor een systeem onbeschikbaar kan worden.

Belangrijke Referenties

Voor de volledigheid en wellicht juridische context biedt het NCSC verschillende formaten van de advisering aan, zoals:

  • Signed-PGP, CSAF, en PDF

Het NCSC vermeldt dat ondanks de grote zorgvuldigheid bij het samenstellen van dit beveiligingsadvies, zij niet kunnen garanderen dat de informatie volledig, juist of actueel is. De informatie is bedoeld voor professionele partijen en er kunnen geen rechten aan ontleend worden. De Nederlandse wet is van toepassing en eventuele geschillen worden voorgelegd aan de bevoegde rechter te Den Haag.

Het is van cruciaal belang dat betrokken partijen zo spoedig mogelijk de gepubliceerde patches toepassen om de beveiliging van hun systemen te waarborgen en potentiële uitbuiting te voorkomen.

Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.

Mitigerende maatregel beschikbaar op advisories.ncsc.nl

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----