-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
Titel : Kwetsbaarheden verholpen in Oracle Database producten
Advisory ID : NCSC-2025-0020
Versie : 1.00
Kans : medium
CVE ID : CVE-2022-26345, CVE-2023-27043, CVE-2023-36730,
CVE-2023-36785, CVE-2023-48795, CVE-2023-52428,
CVE-2024-2961, CVE-2024-4030, CVE-2024-4032,
CVE-2024-6232, CVE-2024-6763, CVE-2024-6923,
CVE-2024-7254, CVE-2024-7592, CVE-2024-8088,
CVE-2024-8927, CVE-2024-11053, CVE-2024-21211,
CVE-2024-22262, CVE-2024-24789, CVE-2024-24790,
CVE-2024-24791, CVE-2024-28757, CVE-2024-33599,
CVE-2024-33600, CVE-2024-33601, CVE-2024-33602,
CVE-2024-38819, CVE-2024-38820, CVE-2024-38998,
CVE-2024-38999, CVE-2024-45490, CVE-2024-45491,
CVE-2024-45492, CVE-2024-45772, CVE-2024-47554,
CVE-2024-47561, CVE-2024-50379, CVE-2024-52316,
CVE-2024-54677, CVE-2024-56337, CVE-2025-21553,
CVE-2025-21557
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: https://cve.mitre.org/cve/)
Schade : high
Integer Underflow (Wrap or Wraparound)
Exposure of Sensitive Information to an Unauthorized
Actor
NULL Pointer Dereference
Stack-based Buffer Overflow
Improper Restriction of Recursive Entity References in
DTDs ('XML Entity Expansion')
Expected Behavior Violation
Deserialization of Untrusted Data
Uncontrolled Search Path Element
Selection of Less-Secure Algorithm During Negotiation
('Algorithm Downgrade')
Authentication Bypass Using an Alternate Path or
Channel
Uncontrolled Resource Consumption
Uncontrolled Recursion
Integer Overflow or Wraparound
Insecure Storage of Sensitive Information
Improper Control of Generation of Code ('Code
Injection')
Allocation of Resources Without Limits or Throttling
Return of Pointer Value Outside of Expected Range
Incorrect Default Permissions
Improper Restriction of Operations within the Bounds
of a Memory Buffer
Improper Input Validation
Insufficient Granularity of Access Control
Improper Validation of Syntactic Correctness of Input
Out-of-bounds Write
Improper Limitation of a Pathname to a Restricted
Directory ('Path Traversal')
Incorrect Calculation of Buffer Size
Improper Validation of Specified Type of Input
Improper Resource Shutdown or Release
Improper Access Control
Improperly Controlled Modification of Object Prototype
Attributes ('Prototype Pollution')
Inefficient Regular Expression Complexity
Heap-based Buffer Overflow
Improper Validation of Integrity Check Value
URL Redirection to Untrusted Site ('Open Redirect')
Reachable Assertion
Loop with Unreachable Exit Condition ('Infinite Loop')
Truncation of Security-relevant Information
Improper Restriction of XML External Entity Reference
Improper Check or Handling of Exceptional Conditions
Improper Handling of Case Sensitivity
Time-of-check Time-of-use (TOCTOU) Race Condition
Misinterpretation of Input
Unchecked Error Condition
Uitgiftedatum : 20250122
Toepassing : oracle application_express
oracle database_-_data_mining
oracle database_-_graalvm_multilingual_engine
oracle database_migration_assistant_for_unicode
oracle database_server
oracle goldengate
oracle goldengate_big_data_and_application_adapters
oracle graal_development_kit_for_micronaut
oracle rest_data_services
oracle secure_backup
Versie(s) :
Platform(s) :
Beschrijving
Oracle heeft kwetsbaarheden verholpen in diverse database producten
en subsystemen, zoals de Core Database, Graal, Application Express,
GoldenGate en REST data.
De kwetsbaarheden bevinden zich in verschillende componenten van de
Oracle Database, waaronder de Data Mining component en de Java VM.
Deze kwetsbaarheden stellen laaggeprivilegieerde geauthenticeerde
gebruikers in staat om het systeem te compromitteren, wat kan leiden
tot ongeautoriseerde toegang en gegevensmanipulatie. De Java VM-
kwetsbaarheid kan ook leiden tot ongeautoriseerde wijzigingen van
gegevens.
Mogelijke oplossingen
Oracle heeft updates uitgebracht om de kwetsbaarheden te verhelpen.
Zie bijgevoegde referenties voor meer informatie.
Referenties:
Reference - cveprojectv5; nvd; oracle
https://www.oracle.com/security-alerts/cpujan2025.html
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
wsDzBAEBCgAdBQJnkPLtFiEEj9lz1UkzuNhtLOX5ytTOqyR+cF8ACgkQytTOqyR+
cF8SGgv+MZlZK4BCF7ieRhjQTstgQB4tKt9ZAt9FnjAskf5HoZX350eSDr90Mzi1
+42P5CON/QR7X0ENfsjFei7yd0LBeT1wl3cKjV5XtmZ4aJQfRbrervlPbTPNRn+p
5wWUBUIFtWU8u8QaYBAp695JLlyrlrp66I702OdHgKSv6xawl5PskdvzPeL456ub
rhrIX5z0fbUD9TdtYgtcQfj0oNuDhs2t4IfGbHT+CWpRff/LAWdmfDN1kwahITHU
eF7KyUXM8sHEJCqIH32TN9VP8qqpYHfhtx9hVkw7BxywKPALc+LwRiaqPzR5TM+2
Zqc3/77UvbkYrI5Hu3gpwLbDk/CZeQpewK+iHs95hIAF8MLuMuOrefCPhvl3Eexc
FKFjzhWnT1oh5UZA/sPcklY97ibQpuQwDz2kR90hzahK9yZKYTgY0pSa5kDvW4gT
L4YAE8kVDtGeh7HIsNiUHeOVDc1omW1a2LpaP66O12/nOsL9LLFjiZjactpDdmaC
0/4VfBWV
=eHbz
-----END PGP SIGNATURE-----
