Kwetsbaarheden verholpen in Oracle Fusion Middleware

Deze pagina zet de platte tekst van officiële advisories automatisch om naar HTML. Hierbij kan mogelijk informatie verloren gaan. De Signed PGP-versies zijn leidend.
Publicatie Kans Schade    
  Versie 1.00 vandaag NCSC-2024-0417  
 
medium
high
 Signed-PGP →
CSAF →
PDF →
  
vandaag
medium
high
 NCSC-2024-0417 [1.00] Signed-PGP →
Text, CSAF (sig), PDF
Kenmerken

Kenmerken
  • Allocation of Resources Without Limits or Throttling
  • Exposure of Sensitive Information to an Unauthorized Actor
  • Improperly Controlled Sequential Memory Allocation
  • Use After Free
  • Server-Side Request Forgery (SSRF)
  • Improper Control of Generation of Code ('Code Injection')
  • Improper Link Resolution Before File Access ('Link Following')
  • Improper Handling of Case Sensitivity
  • Improper Input Validation
  • Deserialization of Untrusted Data
  • Improperly Controlled Modification of Object Prototype Attributes ('Prototype Pollution')
  • Out-of-bounds Write
  • Uncontrolled Resource Consumption
  • Improper Resource Shutdown or Release
  • Integer Overflow or Wraparound
  • URL Redirection to Untrusted Site ('Open Redirect')
  • Detection of Error Condition Without Action
  • Missing Release of Memory after Effective Lifetime
  • Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')
Omschrijving

Omschrijving

Oracle heeft kwetsbaarheden verholpen in Fusion Middleware componenten, zoals WebLogic Server, WebCenter en HTTP Server. Een kwaadwillende kan de kwetsbaarheden misbruiken om aanvallen uit te voeren die kunnen leiden tot de volgende categorieën schade:

Denial-of-Service (DoS)
Manipuleren van data
Uitvoer van willekeurige code (Administratorrechten)
Toegang tot gevoelige gegevens

Omdat deze kwetsbaarheden zich bevinden in diverse Middleware producten, is niet uit te sluiten dat applicaties, draaiende op platformen ondersteund door deze middleware ook kwetsbaar zijn, danwel gevoelig voor misbruik van deze kwetsbaarheden.
Bereik

Bereik
Platforms Producten Versies

oracle business_activity_monitoring
oracle business_activity_monitoring__bam_
oracle business_process_management_suite
oracle data_integrator
oracle enterprise_manager_fusion_middleware_control
oracle global_lifecycle_management_fmw_installer
oracle http_server
oracle identity_manager_connector
oracle managed_file_transfer
oracle middleware_common_libraries_and_tools
oracle outside_in_technology
oracle webcenter_content
oracle webcenter_enterprise_capture
oracle webcenter_forms_recognition
oracle webcenter_portal
oracle webcenter_sites
oracle webcenter_sites_support_tools
oracle weblogic_server
oracle weblogic_server_proxy_plug-in

8.5.5 - 8.5.6 - 8.5.7 - 12.2.1.4.0 - 14.1.1.0.0 - _console___12.2.1.3.0 - _console___12.2.1.4.0 - _console___14.1.1.0.0 - _third_party___12.2.1.3.0 - _third_party___12.2.1.4.0 - _third_party___14.1.1.0.0 - 10.3.6.0 - 12.1.3.0 - 12.1.3.0.0 - 12.2.1.3 - 12.2.1.3.0 - 12.2.1.4.0 - 14.1.1.0 - 14.1.1.0.0 - 12.2.1.3.0 - 12.2.1.4.0 - 12.2.1.4.0 - 14.1.1.0.0 - 12.2.1.3.0 - 12.2.1.4.0 - 12.2.1.3.0 - 12.2.1.4.0 - all_supported_s - 12.2.1.3.0 - 12.2.1.4.0 - 12.2.1.3.0 - 12.2.1.4.0 - 12.2.1.4.0 - 12.2.1.3.0 - 12.2.1.4.0 - 12.2.1.3.0 - 12.2.1.4.0 - 14.1.1.0.0 - 12.2.1.4.0 - 12.2.1.4.0 - 12.2.1.3.0 - 12.2.1.4.0 - 14.1.1.0.0 - 12.2.1.3.0 - 12.2.1.4.0 - 11.1.1.5.0 - 12.2.1.3.0 - 9.1.0 - 9.1.0.0.0
Oplossingen

Oplossingen

Oracle heeft updates uitgebracht om de kwetsbaarheden te verhelpen. Zie bijgevoegde referenties voor meer infomatie. [Link]
CVE’s

CVE’s

CVE-2020-11023, CVE-2020-17521, CVE-2022-1471, CVE-2023-4759, CVE-2023-35116, CVE-2023-39743, CVE-2023-51775, CVE-2024-2511, CVE-2024-6345, CVE-2024-21190, CVE-2024-21191, CVE-2024-21192, CVE-2024-21205, CVE-2024-21215, CVE-2024-21216, CVE-2024-21234, CVE-2024-21246, CVE-2024-21260, CVE-2024-21274, CVE-2024-22201, CVE-2024-22262, CVE-2024-23807, CVE-2024-24549, CVE-2024-25269, CVE-2024-28182, CVE-2024-28752, CVE-2024-29131, CVE-2024-36052, CVE-2024-38999, CVE-2024-45492
  Versie 1.00 vandaag NCSC-2024-0417  
 
medium
high
 Signed-PGP →
CSAF →
PDF →
  
vandaag
medium
high
 NCSC-2024-0417 [1.00] Signed-PGP →
Text, CSAF (sig), PDF

Vrijwaringsverklaring

Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend.
Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies.
Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding.