-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
Titel : Ernstige kwetsbaarheid verholpen in Oracle Weblogic
Server
Advisory ID : NCSC-2020-0893
Versie : 1.00
Kans : high
CVE ID : CVE-2020-14750
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: http://cve.mitre.org/cve/)
Schade : high
(Remote) code execution (Gebruikersrechten)
Uitgiftedatum : 20201102
Toepassing : Oracle WebLogic Server
Versie(s) :
Platform(s) :
Beschrijving
Oracle heeft een update vrijgegeven voor Weblogic Server om een
ernstige kwetsbaarheid te verhelpen. Deze nieuwe kwetsbaarheid is
gerelateerd aan de Fusion Middleware kwetsbaarheid met kenmerk
CVE-2020-14882, waarvoor in october een update is vrijgegeven. (deze
is door het NCSC beschreven in beveiligingsadvies NCSC-2020-0858).
De kwetsbaarheid bevindt zich in de management console en stelt een
ongeauthenticeerde kwaadwillende in staat om willekeurige code uit
te voeren met rechten van de applicatie. Een management console is
onder normale omstandigheden niet publiek beschikbaar.
Oracle geeft aan op de hoogte te zijn van (semi-)publiek beschikbare
exploitcode. Hierom, en de ernst van de kwetsbaarheid, adviseert
Oracle om de update zo snel mogelijk in te zetten.
Mogelijke oplossingen
Oracle heeft updates uitgebracht om de kwetsbaarheid te verhelpen in
Weblogic Server. Voor meer informatie, zie:
https://www.oracle.com/security-alerts/alert-cve-2020-14750.html
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 502)
Charset: utf-8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=L8HP
-----END PGP SIGNATURE-----
