Beveiligingsadvies NCSC-2024-0305 [1.00] [M/H] Kwetsbaarheden verholpen in Oracle Siebel CRM
Kwetsbaarheden in Oracle Siebel CRM Verholpen
Inleiding
Onlangs zijn meerdere kwetsbaarheden in Oracle Siebel CRM opgelost. Deze beveiligingsproblemen kunnen door kwaadwillenden worden misbruikt voor diverse schadelijke doeleinden. Hieronder vindt u een samenvatting van de kwetsbaarheden, de mogelijke gevolgen ervan, en de aangereikte oplossingen.
Publicatiegegevens
| Publicatie | Kans | Schade | Beschrijving | Links |
|---|---|---|---|---|
| Versie 1.00 | Medium | Hoog | NCSC-2024-0305 | Signed-PGP, CSAF, PDF |
Kenmerken van de Kwetsbaarheden
De onderstaande lijst bevat de typen kwetsbaarheden die zijn aangetroffen in Oracle Siebel CRM:
- Inconsistent Interpretation of HTTP Requests (‘HTTP Request/Response Smuggling’)
- Integer Coercion Error
- Exposure of Sensitive Information to an Unauthorized Actor
- Improper Certificate Validation
- Missing Cryptographic Step
- Improper Restriction of Operations within the Bounds of a Memory Buffer
- Deserialization of Untrusted Data
- Incorrect Conversion between Numeric Types
- Improper Neutralization of Null Byte or NUL Character
- Improper Neutralization of Special Elements Used in a Template Engine
- Improper Check for Unusual or Exceptional Conditions
- Improper Input Validation
- Allocation of Resources Without Limits or Throttling
- Out-of-bounds Write
- Improper Resource Shutdown or Release
Beschrijving van de Kwetsbaarheden
Er zijn diverse kwetsbaarheden in Oracle Siebel CRM verholpen. Als deze kwetsbaarheden worden uitgebuit, kunnen aanvallers onder andere de volgende soorten schade veroorzaken:
- Denial-of-Service (DoS)
- Ongeautoriseerde toegang tot gevoelige gegevens
- Ongeautoriseerde toegang tot systeeminformatie
- Manipulatie van gegevens
- (Remote) code execution met gebruikersrechten
Bereik
De kwetsbaarheden treffen specifiek de volgende producten en versies van Oracle Siebel CRM:
| Platforms | Producten | Versies |
|---|---|---|
| oracle siebel_crm | 23.2 – 23.5 | |
| oracle siebel_crm_cloud_applications | ||
| oracle siebel_crm_deployment | ||
| oracle siebel_crm_end_user | ||
| oracle siebel_crm_integration |
Oplossingen
Oracle heeft updates beschikbaar gesteld om de kwetsbaarheden te verhelpen. Meer informatie hierover is te vinden via de volgende links:
- CVE-2021-36090
- CVE-2022-34169
- CVE-2022-37434
- CVE-2022-42003
- CVE-2023-22081
- CVE-2023-33201
- CVE-2023-41105
- CVE-2023-46589
- CVE-2023-47627
- CVE-2023-5072
- CVE-2023-5678
- CVE-2023-5764
- Oracle security alert voor juli 2024
- Oracle beveiligingswaarschuwingen
CVE’s
- CVE-2021-36090
- CVE-2022-34169
- CVE-2022-37434
- CVE-2022-42003
- CVE-2023-5072
- CVE-2023-5678
- CVE-2023-5764
- CVE-2023-22081
- CVE-2023-33201
- CVE-2023-41105
- CVE-2023-46589
- CVE-2023-47627
Door gebruik te maken van deze security advisory gaat u akkoord met de volgende voorwaarden. Hoewel het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of actualiteit ervan. De informatie is uitsluitend bedoeld als algemene informatie voor professionele partijen. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade die voortvloeit uit het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies.
Op dit beveiligingsadvies is Nederlands recht van toepassing. Geschillen zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag, inclusief voorzieningenrechters in kort geding.
Voor meer gedetailleerde informatie en de specifieke updates verwijzen we naar de bekende advisories en documentatie van Oracle en NCSC. Zorg ervoor dat uw systemen up-to-date zijn om de risico’s te minimaliseren.
Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.
Mitigerende maatregel beschikbaar op advisories.ncsc.nl
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----