Oracle Communications Kwetsbaarheden – Hersteld en Geüpdatet

Samenvatting

Onlangs heeft Oracle verschillende veiligheidsproblemen in hun Oracle Communications producten aangepakt. Deze kwetsbaarheden hadden potentieel grote gevolgen, waaronder ongeautoriseerde toegang tot gevoelige data en mogelijke Denial-of-Service (DoS) aanvallen. Dit bericht geeft een overzicht van de gedekte producten, de geïdentificeerde kwetsbaarheden, de getroffen versies, en de oplossingen die door Oracle zijn geboden.

Kenmerken van de Kwetsbaarheden

Oracle Communications producten hadden te maken met een reeks complexe kwetsbaarheden. Enkele noemenswaardige aspecten zijn:

• Ongeautoriseerde toegang: Externe gebruikers konden toegang krijgen tot bestanden en directories die niet voor hen bestemd waren.
• Fouten in resourcebeheer: Dit omvatte ongepaste toewijzingen zonder beperking, waardoor systemen konden worden overbelast.
• Beveiligingsfouten in de verwerking van namen en data: Zoals verkeerde neutralisatie van invoer bij webpagina’s, en gebruik van zwakke algoritmen voor authenticatie.
• Buffer Overflows en Race Conditions: Deze konden leiden tot onbedoelde toegangspaden in systemen.
• Kwetsbaarheden in Externe Componenten: Voortkomend uit het vertrouwen op onveilige externe componenten.

Beschrijving van de Kwetsbaarheden

Oracle heeft kwetsbaarheden verholpen in producten zoals de Cloud Native Core en de Policy Management systemen. De CVSS-scores voor deze kwetsbaarheden variëren van 4.3 tot 9.8. Dit benadrukt de ernst van de bedreigingen voor de beschikbaarheid en de vertrouwelijkheid van de systemen, met name dankzij kwetsbaarheden in specifieke componenten zoals de Binding Support Function en de Network Repository Function.

Getroffen Producten en Versies

Oracle Communications producten die door deze kwetsbaarheden getroffen zijn, omvatten:

• Cloud Native Core Binding Support Function
• Cloud Native Core Console
• Network Data Analytics Function
• Security Edge Protection Proxy

De aangedane versies variëren en omvatten voornamelijk versies 24.2.x, 9.x, 15.0.x en hoger. Zie de gedetailleerde lijst met versies voor specifieke details.

Oplossingen

Oracle heeft updates vrijgegeven die onmiddellijke actie vereisen om de kwetsbaarheden te mitigeren. Deze updates kunnen worden gedownload en geïmplementeerd door uw Oracle systeembeheerder. Voor gedetailleerde informatie over de updates kunt u de beveiligingsmelding raadplegen.

CVE’s

Een selectie van de CVE’s die verband houden met deze kwetsbaarheden, omvat:

• CVE-2023-5388
• CVE-2024-1135
• CVE-2025-1974

Een volledige lijst van de CVE’s is beschikbaar in de beveiligingsmelding van Oracle.

Disclaimer

Dit bericht dient als een algemene informatieve bron en is niet juridisch bindend. Het NCSC, dat deze informatie heeft samengesteld, streeft naar de hoogste zorgvuldigheid, maar kan niet instaan voor de volledigheid of actualiteit van de inhoud. Voor juridische geschillen en interpretaties is de rechtbank in Den Haag bevoegd. Door gebruik van deze informatie aanvaardt de gebruiker deze voorwaarden.

We raden gebruikers met klem aan om de updates zo snel mogelijk door te voeren om hun systemen te beveiligen. Neem bij twijfel contact op met uw IT-beveiligingsteam of Oracle-ondersteuning.

Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.

Mitigerende maatregel beschikbaar op advisories.ncsc.nl

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----