Kwetsbaarheden verholpen in Oracle Communications

Deze pagina zet de platte tekst van officiële advisories automatisch om naar HTML. Hierbij kan mogelijk informatie verloren gaan. De Signed PGP-versies zijn leidend.
Publicatie Kans Schade    
  Versie 1.00 16-04-2025 NCSC-2025-0124  
 
medium
high
 Signed-PGP →
CSAF →
PDF →
  
16-04-2025
medium
high
 NCSC-2025-0124 [1.00] Signed-PGP →
Text, CSAF (sig), PDF
Kenmerken

Kenmerken
  • Files or Directories Accessible to External Parties
  • Allocation of Resources Without Limits or Throttling
  • Improper Resource Shutdown or Release
  • Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')
  • Improper Input Validation
  • Improper Restriction of XML External Entity Reference
  • Always-Incorrect Control Flow Implementation
  • Use of Incorrectly-Resolved Name or Reference
  • Improper Neutralization of Special Elements Used in a Template Engine
  • Insufficient Verification of Data Authenticity
  • Improper Check for Unusual or Exceptional Conditions
  • Improper Certificate Validation
  • Uncontrolled Recursion
  • Divide By Zero
  • Time-of-check Time-of-use (TOCTOU) Race Condition
  • Dependency on Vulnerable Third-Party Component
  • Uncontrolled Resource Consumption
  • Excessive Iteration
  • Improper Neutralization of Special Elements used in an Expression Language Statement ('Expression Language Injection')
  • Improper Isolation or Compartmentalization
  • Incorrect Implementation of Authentication Algorithm
  • Inefficient Regular Expression Complexity
  • Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')
  • Use of a Broken or Risky Cryptographic Algorithm
  • Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition')
  • Use of Potentially Dangerous Function
  • Exposure of Sensitive Information to an Unauthorized Actor
  • Observable Timing Discrepancy
  • Integer Overflow to Buffer Overflow
  • Improper Validation of Syntactic Correctness of Input
  • Authorization Bypass Through User-Controlled Key
  • Missing Report of Error Condition
  • Missing Release of Resource after Effective Lifetime
  • Buffer Copy without Checking Size of Input ('Classic Buffer Overflow')
  • Incorrect Resource Transfer Between Spheres
  • Improperly Controlled Modification of Object Prototype Attributes ('Prototype Pollution')
  • Stack-based Buffer Overflow
  • Improper Control of Generation of Code ('Code Injection')
  • Acceptance of Extraneous Untrusted Data With Trusted Data
  • Deserialization of Untrusted Data
  • Incorrect Permission Assignment for Critical Resource
  • Missing Authorization
  • Inconsistent Interpretation of HTTP Requests ('HTTP Request/Response Smuggling')
  • Improper Privilege Management
  • Improper Restriction of Operations within the Bounds of a Memory Buffer
  • Path Equivalence: 'file.name' (Internal Dot)
Omschrijving

Omschrijving

Oracle heeft meerdere kwetsbaarheden verholpen in Oracle Communications producten, waaronder de Cloud Native Core en Policy Management. De kwetsbaarheden in Oracle Communications producten stellen ongeauthenticeerde aanvallers in staat om ongeautoriseerde toegang te verkrijgen tot gevoelige gegevens en kunnen leiden tot Denial-of-Service (DoS) aanvallen. Specifieke versies van de Cloud Native Core, zoals de Binding Support Function en Network Repository Function, zijn getroffen, met CVSS-scores die variëren van 4.3 tot 9.8, wat wijst op significante risico's voor de beschikbaarheid en vertrouwelijkheid van de systemen.
Bereik

Bereik
Platforms Producten Versies

Oracle Communications Cloud Native Core Binding Support Function Oracle Communications Cloud Native Core Console Oracle Communications Cloud Native Core Network Data Analytics Function Oracle Communications Cloud Native Core Network Function Cloud Native Environment Oracle Communications Cloud Native Core Policy Oracle Communications Cloud Native Core Security Edge Protection Proxy Oracle Communications Cloud Native Core Unified Data Repository Oracle Communications Element Manager Oracle Communications Policy Management Oracle Communications Session Border Controller Oracle Communications Session Report Manager Oracle Communications Unified Assurance Oracle Corporation Oracle Communications Order and Service Management Oracle Enterprise Communications Broker Oracle Management Cloud Engine Oracle Oracle Communications Billing and Revenue Management Oracle Oracle Communications Cloud Native Core Binding Support Function Oracle Oracle Communications Cloud Native Core Certificate Management Oracle Oracle Communications Cloud Native Core Console Oracle Oracle Communications Cloud Native Core DBTier Oracle Oracle Communications Cloud Native Core Network Data Analytics Function Oracle Oracle Communications Cloud Native Core Network Function Cloud Native Environment Oracle Oracle Communications Cloud Native Core Network Repository Function Oracle Oracle Communications Cloud Native Core Policy Oracle Oracle Communications Cloud Native Core Security Edge Protection Proxy Oracle Oracle Communications Cloud Native Core Service Communication Proxy Oracle Oracle Communications Cloud Native Core Unified Data Repository Oracle Oracle Communications Diameter Signaling Router Oracle Oracle Communications EAGLE Element Management System Oracle Oracle Communications Element Manager Oracle Oracle Communications Messaging Server Oracle Oracle Communications MetaSolv Solution Oracle Oracle Communications Network Analytics Data Director Oracle Oracle Communications Network Charging and Control Oracle Oracle Communications Network Integrity Oracle Oracle Communications Operations Monitor Oracle Oracle Communications Order and Service Management Oracle Oracle Communications Policy Management Oracle Oracle Communications Pricing Design Center Oracle Oracle Communications Service Catalog and Design Oracle Oracle Communications Session Border Controller Oracle Oracle Communications Session Report Manager Oracle Oracle Communications Unified Assurance Oracle Oracle Communications Unified Inventory Management Oracle Oracle Communications User Data Repository Oracle Oracle Enterprise Communications Broker Oracle Oracle SD-WAN Edge Oracle SD-WAN Edge

24.2.1 - 24.2.0 - >=24.2.0|<=24.2.2 - 24.2.1 - 24.2.0 - 24.2.1 - 24.2.2 - >=6.0|<=6.1 - 24.3.0 - 24.2.0 - 24.2.5 - 9.0.0 - 9.0.1 - 9.0.2 - 9.0.3 - >=9.0.0|<=9.0.3 - 15.0.0.0.0 - >=9.0.0|<=9.0.3 - 9.1.1.9 - 24.2.3 - 24.3.0 - 10.0.0 - 9.2.0 - 9.3.0 - 4.1.0 - 4.2.0 - 24.2.0 - 24.2.1 - >=24.2.0|<=24.2.2 - 24.2.3 - 24.2.4 - 24.3.0 - >=24.2.0|<=24.2.2 - >=24.2.0|<=24.2.4 - >=24.2.1|<=24.2.4 - 24.2.1 - 24.2.2 - 24.2.1 - 24.2.2 - 24.2.2 - 24.2.3 - 23.4.0 - 24.2.0 - 24.2.1 - 24.2.2 - 24.2.3 - 24.3.0 - 24.2.0 - 24.2.3 - 24.3.0 - 25.1.100 - 46.6 - 5.1 - 5.2 - 12.11 - 14.0 - 14.0.0 - 15.0 - 15.0.0 - 15.0.1 - 15.0.2 - 9.0.0.0 - 24.3.0 - 24.2.0 - 24.2.0 - 24.2.5 - 24.3.0 - 9.0.0 - 9.0.1 - 9.0.2 - 9.0.3 - >=9.0.0|<=9.0.3 - 15.0.0.0.0 - 9.0.0 - 9.0.1 - 9.0.2 - 9.0.3 - >=9.0.0|<=9.0.3 - 9.1.1.9 - 22.4.0 - 23.4.4 - 24.1.1 - 24.2.2 - 24.2.3 - 24.3.0 - 25.1.100 - >=23.1.0|<=23.4.0 - 10.0.0 - 9.2.0 - 9.3.0 - 4.1.0 - 4.2.0 - 24.1.0 - 24.2.0 - 24.3.0 - >=24.1.0|<=24.3.0 - >=23.4.0|<=23.4.1 - >=23.4.0|<=23.4.3 - >=23.4.0|<=23.4.5 - >=23.4.0|<=23.4.2 - >=23.4.0|<=23.4.4 - >=23.4.0|<=23.4.6 - 23.4.3 - 24.2.0 - 23.4.2 - 24.2.0 - 23.4.4 - 24.2.1 - 23.4.2 - 24.2.0 - 23.4.0 - 24.1.0 - 24.2.0 - 7.3.6 - 7.4.0 - 7.5.0 - 6.0 - >=6.0.0|<=6.0.5 - >=6.0.4|<=6.0.5 - >=6.0|<=6.1 - 12.0.0.8.0 - 15.0.0.0.0 - 15.0.1.0.0 - >=12.0.0.4.0|<=12.0.0.8.0 - >=12.0.0.4|<=12.0.0.8 - >=15.0.0.0.0|<=15.0.1.0.0 - >=15.0.0.0|<=15.0.0.1 - 8.1.0.26.0 - 6.3.1 - 12.0.6.0.0 - 15.0.0.0.0 - 15.0.1.0.0 - 7.4.0 - 7.5.0 - 7.4.1 - 15.0.0.0.0 - 15.0.1.0.0 - >=12.0.0.4.0|<=12.0.0.8.0 - 8.0.0.3 - 8.0.0.4.0 - 8.1.0.1 - 8.1.0.2.0 - 7.4.1 - 7.4.2 - 7.5.0 - 7.5.1 - 7.6.0 - 7.7.0 - >=7.4.0|<=7.4.2 - >=7.5.0|<=7.5.1 - 23.4.0 - 24.1.0 - 7.4.0 - 7.4.1 - 7.5.0
Oplossingen

Oplossingen

Oracle heeft updates uitgebracht om de kwetsbaarheden te verhelpen. Zie bijgevoegde referenties voor meer informatie. [Link]
CVE’s

CVE’s

CVE-2023-5388, CVE-2023-5685, CVE-2023-49582, CVE-2023-51074, CVE-2024-1135, CVE-2024-4227, CVE-2024-5535, CVE-2024-6763, CVE-2024-7254, CVE-2024-11053, CVE-2024-12797, CVE-2024-12798, CVE-2024-21538, CVE-2024-25638, CVE-2024-28168, CVE-2024-28219, CVE-2024-28834, CVE-2024-31141, CVE-2024-34064, CVE-2024-35195, CVE-2024-37891, CVE-2024-38819, CVE-2024-38827, CVE-2024-40896, CVE-2024-43044, CVE-2024-43709, CVE-2024-43796, CVE-2024-47072, CVE-2024-47554, CVE-2024-49767, CVE-2024-50602, CVE-2024-52046, CVE-2024-52303, CVE-2024-53122, CVE-2024-56128, CVE-2024-56337, CVE-2024-57699, CVE-2025-1974, CVE-2025-23084, CVE-2025-23184, CVE-2025-24813, CVE-2025-24928, CVE-2025-24970, CVE-2025-27516, CVE-2025-27789, CVE-2025-30729, CVE-2025-31721
  Versie 1.00 16-04-2025 NCSC-2025-0124  
 
medium
high
 Signed-PGP →
CSAF →
PDF →
  
16-04-2025
medium
high
 NCSC-2025-0124 [1.00] Signed-PGP →
Text, CSAF (sig), PDF

Vrijwaringsverklaring

Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend.
Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies.
Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding.