Oracle dicht ernstige kwetsbaarheden in Enterprise Manager en Log4j

Oracle heeft meerdere beveiligingslekken opgelost in Oracle Enterprise Manager (OEM) Base Platform voor versies 13.5 en 24.1. Een deel daarvan is op afstand te misbruiken zonder inloggegevens, via HTTP(S). In het ergste geval kan een aanvaller zo de beheeromgeving overnemen, data wijzigen of systemen onbruikbaar maken. Andere lekken vragen wel rechten (bijvoorbeeld via SSH), maar kunnen nog steeds uitmonden in volledige systeemcompromittering. Deze fixes maken onderdeel uit van de Critical Patch Update (CPU) van april 2026. De Nederlandse NCSC bevestigt de impact en raadt organisaties aan direct te updaten. (oracle.com)

Wat is er precies geraakt?

• Binnen Enterprise Manager gaat het onder meer om het Base Platform. Voorbeeld: CVE-2026-34279 in de Event Management‑component (CVSS 9.1) kan bij misbruik leiden tot aanzienlijke schade. Daarnaast zijn er kwetsbaarheden in onderdelen als de Agent en de installatiecomponent die op afstand en zonder authenticatie te triggeren zijn. Zowel 13.5 als 24.1 (24ai Release 1) vallen binnen scope. (oracle.com)
• Let op samenhang: OEM bevat Oracle Database- en Fusion Middleware‑componenten. Kwetsbaarheden daarin kunnen de beveiliging van Enterprise Manager óók raken. Updaten moet dus holistisch gebeuren. (oracle.com)

Log4j: fout in JsonTemplateLayout
Er is daarnaast een probleem ontdekt in Apache Log4j’s JsonTemplateLayout (tot en met versie 2.25.3). Bij het loggen van “niet‑eindige” getallen (NaN, Infinity) produceert Log4j ongeldige JSON. Downstream logverwerking (SIEM’s, data‑pipelines) kan dan records weigeren of niet indexeren—waardoor zicht op incidenten wegvalt. De bug is verholpen in Log4j 2.25.4. De kwetsbaarheid staat geregistreerd als CVE‑2026‑34481. (logging.apache.org)

Waarom dit ertoe doet

• Enterprise Manager is vaak het zenuwstelsel van database- en applicatiebeheer. Toegang daartoe betekent in de praktijk vaak “sleutels van het rijk”.
• Logpijplijnen zijn cruciaal voor detectie en forensiek. Als JSON-logs onjuist zijn, kan je monitoring blind worden—juist tijdens een aanval. (logging.apache.org)

Aanpak: zo verklein je het risico vandaag nog

• Patch onmiddellijk: implementeer de Oracle CPU van april 2026 voor OEM 13.5/24.1. Gebruik de holistische patchmethode van OEM om alle betrokken componenten (inclusief Database en Fusion Middleware) mee te nemen. Test in een acceptatieomgeving, maar stel productie‑uitrol niet onnodig uit. (oracle.com)
• Verklein je aanvalsoppervlak: beperk toegang tot OEM‑webpoorten en ‑diensten tot beheernetwerken/VPN’s, dwing TLS af, en zet sterke authenticatie op beheeraccounts. Volg de hardening‑richtlijnen uit de OEM 24.1 Security Guide. (docs.oracle.com)
• Log4j: upgrade naar 2.25.4 of hoger. Controleer of je JsonTemplateLayout gebruikt en of applicaties MapMessages met externe floating‑point‑waarden loggen. Overweeg tijdelijk input‑validatie of een alternatief log‑layout als upgrade direct niet kan. (logging.apache.org)
• Blijf informeren: volg updates van Oracle’s CPU‑portaal en adviezen van NCSC‑NL om nieuwe kwetsbaarheden en patches tijdig te signaleren. (oracle.com)

Kortom: draai je Enterprise Manager op 13.5 of 24.1, dan is patchen geen luxe maar noodzaak. En als je Log4j gebruikt, haal 2.25.4 binnen om te voorkomen dat je logging—en daarmee je detectie—juist op kritieke momenten uitvalt. (oracle.com)

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.