-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
Titel : Kwetsbaarheden verholpen in Oracle Fusion Middleware
Advisory ID : NCSC-2024-0417
Versie : 1.00
Kans : medium
CVE ID : CVE-2020-11023, CVE-2020-17521, CVE-2022-1471,
CVE-2023-4759, CVE-2023-35116, CVE-2023-39743,
CVE-2023-51775, CVE-2024-2511, CVE-2024-6345,
CVE-2024-21190, CVE-2024-21191, CVE-2024-21192,
CVE-2024-21205, CVE-2024-21215, CVE-2024-21216,
CVE-2024-21234, CVE-2024-21246, CVE-2024-21260,
CVE-2024-21274, CVE-2024-22201, CVE-2024-22262,
CVE-2024-23807, CVE-2024-24549, CVE-2024-25269,
CVE-2024-28182, CVE-2024-28752, CVE-2024-29131,
CVE-2024-36052, CVE-2024-38999, CVE-2024-45492
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: https://cve.mitre.org/cve/)
Schade : high
Allocation of Resources Without Limits or Throttling
Exposure of Sensitive Information to an Unauthorized
Actor
Improperly Controlled Sequential Memory Allocation
Use After Free
Server-Side Request Forgery (SSRF)
Improper Control of Generation of Code ('Code
Injection')
Improper Link Resolution Before File Access ('Link
Following')
Improper Handling of Case Sensitivity
Improper Input Validation
Deserialization of Untrusted Data
Improperly Controlled Modification of Object Prototype
Attributes ('Prototype Pollution')
Out-of-bounds Write
Uncontrolled Resource Consumption
Improper Resource Shutdown or Release
Integer Overflow or Wraparound
URL Redirection to Untrusted Site ('Open Redirect')
Detection of Error Condition Without Action
Missing Release of Memory after Effective Lifetime
Improper Neutralization of Input During Web Page
Generation ('Cross-site Scripting')
Uitgiftedatum : 20241017
Toepassing : oracle business_activity_monitoring
oracle business_activity_monitoring__bam_
oracle business_process_management_suite
oracle data_integrator
oracle enterprise_manager_fusion_middleware_control
oracle global_lifecycle_management_fmw_installer
oracle http_server
oracle identity_manager_connector
oracle managed_file_transfer
oracle middleware_common_libraries_and_tools
oracle outside_in_technology
oracle webcenter_content
oracle webcenter_enterprise_capture
oracle webcenter_forms_recognition
oracle webcenter_portal
oracle webcenter_sites
oracle webcenter_sites_support_tools
oracle weblogic_server
oracle weblogic_server_proxy_plug-in
Versie(s) :
Platform(s) :
Beschrijving
Oracle heeft kwetsbaarheden verholpen in Fusion Middleware
componenten, zoals WebLogic Server, WebCenter en HTTP Server.
Een kwaadwillende kan de kwetsbaarheden misbruiken om aanvallen uit
te voeren die kunnen leiden tot de volgende categorieën schade:
- Denial-of-Service (DoS)
- Manipuleren van data
- Uitvoer van willekeurige code (Administratorrechten)
- Toegang tot gevoelige gegevens
Omdat deze kwetsbaarheden zich bevinden in diverse Middleware
producten, is niet uit te sluiten dat applicaties, draaiende op
platformen ondersteund door deze middleware ook kwetsbaar zijn,
danwel gevoelig voor misbruik van deze kwetsbaarheden.
Mogelijke oplossingen
Oracle heeft updates uitgebracht om de kwetsbaarheden te verhelpen.
Zie bijgevoegde referenties voor meer infomatie.
Referenties:
Reference - cveprojectv5; hkcert; nvd; oracle; redhat
https://www.oracle.com/security-alerts/cpuoct2024.html
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----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=csmY
-----END PGP SIGNATURE-----
