Beveiligingsadvies NCSC-2024-0294 [1.00] [M/H] Kwetsbaarheden verholpen in Oracle Communications
Kwetsbaarheden Verholpen in Oracle Communications: Een Diepgaand Overzicht
Oracle heeft recentelijk belangrijke updates uitgebracht om verschillende kwetsbaarheden in haar Communications software te verhelpen. Deze kwetsbaarheden kunnen potentieel misbruikt worden door kwaadwillenden om diverse soorten aanvallen uit te voeren.
Publicatiedetails
| Publicatie | Kans | Schade | Referentie | Downloads |
|---|---|---|---|---|
| Gisteren | Medium | High | NCSC-2024-0294 [1.00] |
Signed-PGP CSAF |
Kenmerken van de Kwetsbaarheden
De volgende kwetsbaarheden zijn geïdentificeerd en aangepakt in de update:
- Incorrecte conversie tussen numerieke types
- Oneindige lus door onbereikbare exit-voorwaarde
- Onjuiste beperking van een bestandsnaam tot een beperkt pad (‘Pad Traversal’)
- Meerdere interpretaties van UI-invoer
- Cross-Site Request Forgery (CSRF)
- Onjuiste certificaatvalidatie
- Onjuiste invoervalidering
- Ongecontroleerde bronconsumptie
- Onjuiste uitschakeling of vrijgave van bronnen
- Deserialisatie van onbetrouwbare gegevens
- Onvolledige opruiming
- Blootstelling van gevoelige informatie aan onbevoegde actoren
- Gebruik na vrijgave
- Integer coercion error
- URL-omleiding naar niet-vertrouwde site (‘Open Redirect’)
- Onjuiste neutralisatie van invoer tijdens webpagina generatie (‘Cross-site Scripting’)
- Onjuiste neutralisatie van argument-scheidingstekens in een commando (‘Argument Injection’)
- Inconsistente interpretatie van HTTP-verzoeken (‘HTTP Request/Response Smuggling’)
- Detectie van foutconditie zonder actie
- Out-of-bounds schrijven
- Asymmetrische bronconsumptie (versterking)
- Server-Side Request Forgery (SSRF)
- Truncatie van veiligheidsrelevante informatie
- Allocatie van bronnen zonder limieten of throttling
- NULL-pointerdereferencing
- Onjuiste toegangscontrole
- Onvoldoende verificatie van gegevensauthenticiteit
Omschrijving van de Vulnerabiliteiten
Deze kwetsbaarheden in Oracle Communications stellen kwaadwillenden in staat om diverse soorten aanvallen uit te voeren, die kunnen resulteren in:
- Denial-of-Service (DoS)
- Ongeautoriseerde toegang tot gevoelige gegevens
- Ongeautoriseerde toegang tot systeemgegevens
- Manipulatie van gegevens
- (Remote) code execution op gebruikersrechtenniveau
Details over Bereik
| Platforms | Producten | Versies |
|---|---|---|
| oracle communications_asap | 7.3 – 7.4 |
Oplossingen
Oracle heeft updates uitgebracht die de hierboven besproken kwetsbaarheden verhelpen. Voor meer details kan men de volgende links raadplegen:
CVE-2019-10086,
CVE-2021-29425,
CVE-2021-41184,
Alle CVEs voor juli 2024
Door gebruik te maken van deze security advisory gaat u akkoord met de volgende voorwaarden. Hoewel het NCSC de grootst mogelijke zorg heeft betracht bij het samenstellen van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit advies. De informatie in dit advies is uitsluitend bedoeld voor algemene informatiedoeleinden voor professionele partijen. Aan dit advies kunnen geen rechten worden ontleend. Noch het NCSC noch de Staat der Nederlanden is aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit advies. Het Nederlandse recht is van toepassing, en geschillen worden voorgelegd aan de bevoegde rechter te Den Haag.
Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.
Mitigerende maatregel beschikbaar op advisories.ncsc.nl
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----