Beveiligingsadvies NCSC-2024-0306 [1.00] [M/H] Kwetsbaarheden verholpen in Oracle Supply Chain
Informatie over verholpen kwetsbaarheden in Oracle Supply Chain
Introductie
Recentelijk zijn er meerdere kwetsbaarheden verholpen in Oracle Supply Chain. Deze informatie is essentieel voor bedrijven en organisaties die gebruikmaken van Oracle Supply Chain producten. Hier volgt een uitgebreid overzicht van de problemen die aangepakt zijn, de gevolgen van deze kwetsbaarheden, en de beschikbare oplossingen.
Publicatieinformatie
Hieronder vindt u een tabel met de belangrijkste details over de publicatie van dit beveiligingsadvies:
| Publicatie | Kans | Schade | Link |
|---|---|---|---|
| vandaag | medium | high | NCSC-2024-0306 |
Gedetailleerde Kenmerken van de Kwetsbaarheden
De volgende typen kwetsbaarheden zijn geïdentificeerd en verholpen in de Oracle Supply Chain software:
- Inconsistent Interpretation of HTTP Requests (‘HTTP Request/Response Smuggling’)
- Integer Coercion Error
- Uncontrolled Resource Consumption
- Incorrect Conversion between Numeric Types
- Allocation of Resources Without Limits or Throttling
- Improper Input Validation
- Improper Resource Shutdown or Release
Beschrijving van de Kwetsbaarheden
De kwetsbaarheden in Oracle Supply Chain kunnen door kwaadwillenden worden misbruikt om verschillende soorten aanvallen uit te voeren. Dit kan leiden tot:
- Denial-of-Service (DoS): De dienst wordt ontoegankelijk voor gebruikers.
- Toegang tot gevoelige gegevens: Onbevoegden kunnen gevoelige informatie benaderen.
- Toegang tot systeemgegevens: Cruciale systeeminformatie kan worden ingezien of gewijzigd.
- Manipulatie van gegevens: Aanpassen of verwijderen van gegevens.
- Remote code execution (Gebruikersrechten): De mogelijkheid om schadelijke code uit te voeren op afstand met gebruikersrechten.
Platformen en Producten
De volgende Oracle producten en versies zijn getroffen door deze kwetsbaarheden:
| Platforms | Producten | Versies |
|---|---|---|
| oracle agile_engineering_data_management, oracle autovue_for_agile_product_lifecycle_management |
21.0.2 |
Oplossingen
Oracle heeft updates beschikbaar gesteld om de bovenstaande kwetsbaarheden te verhelpen. Het is cruciaal voor gebruikers om deze updates zo snel mogelijk te installeren. Zie de onderstaande links voor meer informatie:
- CVE-2022-34169
- CVE-2023-24998
- CVE-2023-37536
- CVE-2023-44487
- CVE-2023-46589
- Security Alert CPA
- Oracle Security Alerts
Disclaimer
Gebruik van deze informatie is onderworpen aan de volgende voorwaarden:
- Hoewel het NCSC ervoor heeft gezorgd dat de informatie in dit beveiligingsadvies zorgvuldig is samengesteld, kan het NCSC de volledigheid, juistheid of actualiteit ervan niet garanderen.
- De informatie in dit beveiligingsadvies is bedoeld als algemene informatie voor professionele partijen. Het biedt geen rechten.
- Het NCSC en de Staat zijn niet aansprakelijk voor enige schade die voortvloeit uit het gebruik of de onmogelijkheid van het gebruik van deze informatie.
- Dit advies valt onder Nederlands recht. Geschillen worden exclusief voorgelegd aan de bevoegde rechter in Den Haag.
Door gebruik te maken van deze advisory, gaat u akkoord met de bovenstaande voorwaarden.
Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.
Mitigerende maatregel beschikbaar op advisories.ncsc.nl
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----