Beveiligingsadvies NCSC-2024-0301 [1.00] [M/H] Kwetsbaarheden verholpen in Oracle Java SE
Kwetsbaarheden Verholpen in Oracle Java SE
Oracle Java SE heeft updates uitgebracht om verschillende beveiligingskwetsbaarheden aan te pakken. Deze kwetsbaarheden kunnen door kwaadwillenden worden benut om uiteenlopende soorten aanvallen uit te voeren. Hieronder volgt gedetailleerde informatie over de kwetsbaarheden, de impact hiervan, de getroffen producten, en de beschikbare oplossingen.
Kwetsbaarheden en Impact
Er zijn meerdere ernstige kwetsbaarheden geïdentificeerd en verholpen in Oracle Java SE. Deze kwetsbaarheden kunnen leiden tot de volgende soorten schade:
- Denial-of-Service (DoS): Aanvallen die kunnen leiden tot het onbeschikbaar maken van een dienst.
- Toegang tot Gevoelige Gegevens: Ongeautoriseerde inzage in persoonlijke of bedrijfsgevoelige informatie.
- Toegang tot Systeemgegevens: Inbreuk op systeemintegriteit waardoor controle over het systeem wordt verkregen.
- Manipulatie van Gegevens: Ongeautoriseerde wijziging van kritische gegevens.
Technische Details van de Kwetsbaarheden
De kwetsbaarheden vallen onder de volgende categorieën:
- Uncontrolled Resource Consumption: Onvoorziene belasting van systeembronnen, zoals CPU of geheugen, die kan leiden tot DoS.
- Infinite Loop: Een programmeerfout waarbij een lus nooit eindigt, wat eveneens kan resulteren in een DoS-aanval.
- Out-of-bounds Write: Schrijven van gegevens buiten de bedoelde geheugenbuffers, wat kan leiden tot corruptie van data of zelfs overname van de controle over het systeem.
Getroffen Platforms en Producten
De kwetsbaarheden zijn geïdentificeerd in de volgende versies van Oracle Java SE:
- Oracle Java SE 11.0.23 tot 17.0.11
- Oracle Java SE 21.0.3 en 22.0.1
- Oracle Java 8u411
- GraalVM Enterprise Edition 20.3.14 en 21.3.10
- GraalVM voor JDK 17.0.11, 21.0.3, en 22.0.1
- Oracle Java SE Performance Edition (perf)
Oplossingen en Updates
Oracle heeft patches uitgebracht om deze kwetsbaarheden te verhelpen. Het is sterk aanbevolen dat gebruikers en beheerders van de bovengenoemde versies deze updates onmiddellijk toepassen om hun systemen te beveiligen. Deze updates zijn beschikbaar via de volgende links:
- NVD CVE-2024-21131
- NVD CVE-2024-21138
- NVD CVE-2024-21140
- NVD CVE-2024-21144
- NVD CVE-2024-21145
- NVD CVE-2024-21147
- NVD CVE-2024-27983
Voor de volledige lijst van getroffen producten en versies evenals de bijbehorende updates, kunt u de JSON en PDF documenten downloaden van de NCSC website:
Vrijwaring
Bij het gebruik van deze security advisory accepteert u de volgende voorwaarden. Hoewel het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of actualiteit van dit advies. De informatie is uitsluitend bedoeld als algemene informatie voor professionele partijen. Het NCSC en de Staat zijn niet aansprakelijk voor schade ten gevolge van het gebruik of de onmogelijkheid van gebruik van dit beveiligingsadvies. Op dit advies is Nederlands recht van toepassing, en geschillen zullen exclusief worden voorgelegd aan de bevoegde rechter in Den Haag.
Voor meer informatie, bezoek de officiële NCSC-pagina.
Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.
Mitigerende maatregel beschikbaar op advisories.ncsc.nl
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----