Kwetsbaarheden in Oracle Enterprise Manager opgelost

Oracle heeft meerdere beveiligingslekken in Oracle Enterprise Manager aangepakt. Deze kwetsbaarheden stelden onbevoegde aanvallers in staat om systemen aan te vallen via HTTP of SSH. Als gevolg hiervan konden de aanvallers mogelijk een Denial-of-Service (DoS) veroorzaken of gevoelige informatie blootleggen. Een van de opvallende zwakheden zat in de ObjectSerializationDecoder van Apache MINA, die door een gebrek aan beveiligingscontroles in de deserialisatiecode, aanvallers de mogelijkheid gaf om op afstand code uit te voeren. De getroffen versies zijn 2.0.X, 2.1.X en 2.2.X. Ook is er een kwetsbaarheid ontdekt in de Oracle Primavera Gateway die DoS-aanvallen mogelijk maakt.

Kenmerken van de kwetsbaarheden

De kwetsbaarheden hebben de volgende technische kenmerken:

• Improper Control of Generation of Code (‘Code Injection’): Aanvallers kunnen ongecontroleerde code genereren en uitvoeren.
• Deserialization of Untrusted Data: Kwaadaardige gegevens deserialisatie zonder voorafgaande validering.
• Uncontrolled Recursion: Recursies die eindeloos door kunnen gaan en zo de bronnen van het systeem kunnen uitputten.
• Excessively Deep Nesting: Ongecontroleerde diepe neststructuren die kunnen leiden tot stack overflow fouten.
• Improper Resource Shutdown or Release: Onvoldoende afsluiting en vrijgave van resources die resource leaks kunnen veroorzaken.

Betrokken Producten en Versies

De kwetsbaarheden treffen de volgende Oracle-producten:

• Oracle Application Testing Suite
• Oracle Enterprise Manager Base Platform

De specifieke versies die vatbaar zijn voor deze kwetsbaarheden zijn 13.5.0.0, 24.1.0.0.0, en 13.3.0.1.

Oplossingen

Oracle heeft beveiligingsupdates uitgebracht om deze kwetsbaarheden aan te pakken. Gebruikers wordt dringend aangeraden om deze updates zo snel mogelijk te installeren om hun systemen te beveiligen. Meer gedetailleerde informatie en downloadinformatie is beschikbaar via de volgende link.

Geassocieerde CVE’s

De geïdentificeerde kwetsbaarheden zijn als volgt geregistreerd:

• CVE-2022-45047
• CVE-2023-1370
• CVE-2024-52046
• CVE-2024-57699

Bij gebruik van deze beveiligingsadvies aanvaardt u de volgende voorwaarden. Ondanks de zorgvuldigheid van het NCSC bij het samenstellen van dit advies, kan het NCSC geen garantie geven voor de volledigheid, juistheid of actualiteit ervan. Deze informatie is uitsluitend bedoeld als algemene gids voor professionele gebruik. Aan deze informatie kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor schade die voortvloeit uit het gebruik van dit beveiligingsadvies. Op dit advies is Nederlands recht van toepassing, en geschillen zullen voorgelegd worden aan de bevoegde rechter in Den Haag.

Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.

Mitigerende maatregel beschikbaar op advisories.ncsc.nl

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----