Inleiding

Oracle heeft recentelijk updates uitgebracht om verschillende beveiligingskwetsbaarheden in zijn databaseproducten op te lossen. Deze kwetsbaarheden, als ze niet worden aangepakt, kunnen aanvallers in staat stellen om ongeautoriseerde toegang te krijgen, gevoelige gegevens te manipuleren, en zelfs systemen te verstoren middels een Denial-of-Service (DoS) aanval.

Aangepaste Kwetsbaarheden

Oracle heeft bevestigd dat er meerdere problemen zijn geïdentificeerd in hun databasesystemen, waaronder de Oracle Server, NoSQL databases, TimesTen, Secure Backup, en Essbase. Veelvoorkomende kwetsbaarheden zijn onder andere:

• Ongecontroleerde Recursie: Deze kwetsbaarheid kan leiden tot stackoverflows of langdurige verwerkingstijden, waardoor de prestaties van het systeem afnemen.
• Onjuist Toegangsbeheer: Ongeautoriseerde gebruikers kunnen toegang krijgen tot systeemonderdelen en gevoelige gegevens.
• Gevoelige Informatie Blootstelling: Vertrouwelijke gegevens kunnen onbedoeld worden gedeeld met onbetrouwbare gebruikers.
• Code Injectie: Kwaadwillenden kunnen schadelijke code uitvoeren binnen de Oracle omgeving.

Impactanalyse

Deze kwetsbaarheden variëren in ernst met CVSS-scores variërend van 5.3 tot 7.5, wat duidt op een medium tot hoog risico. Subcomponenten zoals de RDBMS Listener en Java VM zijn bijzonder kwetsbaar, wat de noodzaak van dringende updates onderstreept.

Beïnvloede systemen en versies

De volgende producten en versies worden beïnvloed:

• Oracle Database Server: Versies 19.1.0.0.0 tot 19.26.0.0.250219 en 21.3 tot 21.17.
• Oracle Autonomous Health Framework, Big Data Spatial and Graph, Enterprise Manager, en GoldenGate: Variërende versieaanduidingen zoals 22.1, 23.1, en hoger.

Gebruikers worden aangemoedigd om deze lijsten zorgvuldig te controleren en gepaste updates te installeren.

Beschikbare Oplossingen

Oracle heeft patches vrijgegeven die direct kunnen worden gedownload en geïnstalleerd vanuit de Oracle beveiligings-website. Voor meer gedetailleerde informatie over de updates en instructies voor implementatie, kunt u hier klikken.

Bekende CVEs

Enkele van de belangrijke CVEs die in deze advisories zijn genoemd, zijn:

• CVE-2020-1935
• CVE-2023-28708
• CVE-2025-30694

Meer uitgebreide details over deze en andere CVEs kunnen worden geraadpleegd via de CVE-mitre-website.

Het NCSC heeft sterke inspanningen geleverd om nauwkeurige en actuele informatie te verstrekken. Echter, het NCSC kan de volledigheid of voortdurende actualiteit van dit advies niet garanderen. Gebruik van deze informatie is op eigen risico, en het NCSC of de Staat is niet verantwoordelijk voor schade voortvloeiend uit dit advies. Geschillen worden behandeld onder Nederlands recht met de bevoegde rechter te Den Haag.

Deze samenvatting biedt een overzicht van het veiligheidsadvies voor Oracle Database-producten. Zorg ervoor dat alle aanbevolen beveiligingsmaatregelen worden getroffen om uw systemen te beschermen tegen potentiële bedreigingen.

Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.

Mitigerende maatregel beschikbaar op advisories.ncsc.nl

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----