-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Kwetsbaarheden verholpen in Oracle Communications-producten Advisory ID : NCSC-2021-0906 Versie : 1.00 Kans : high CVE ID : CVE-2017-9841, CVE-2018-20034, CVE-2019-10086, CVE-2020-5258, CVE-2020-5398, CVE-2020-7226, CVE-2020-8622, CVE-2020-9488, CVE-2020-10543, CVE-2020-10878, CVE-2020-11994, CVE-2020-11998, CVE-2020-17530, CVE-2020-24750, CVE-2020-25649, CVE-2020-28052, CVE-2020-29661, CVE-2021-2351, CVE-2021-2414, CVE-2021-2416, CVE-2021-2461, CVE-2021-3156, CVE-2021-21345, CVE-2021-21783, CVE-2021-22112, CVE-2021-22118, CVE-2021-22696, CVE-2021-23017, CVE-2021-23337, CVE-2021-25215, CVE-2021-27906, CVE-2021-28165, CVE-2021-29425, CVE-2021-30468, CVE-2021-30640, CVE-2021-33037, CVE-2021-33560, CVE-2021-36090 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: https://cve.mitre.org/cve/) Schade : medium Denial-of-Service (DoS) Manipulatie van gegevens (Remote) code execution (Gebruikersrechten) Toegang tot gevoelige gegevens Toegang tot systeemgegevens Uitgiftedatum : 20211020 Toepassing : Oracle Communications Versie(s) : Platform(s) : Beschrijving Oracle heeft kwetsbaarheden verholpen in de volgende Communications-producten: * Communications Services Gatekeeper * Communications Converged Application Server - Service Controller * Communications Session Border Controller * Enterprise Communications Broker * Communications Operations Monitor * Communications Fraud Monitor * Communications Control Plane Monitor * Communications Interactive Session Recorder * Communications EAGLE (Software) * Communications Application Session Controller * Communications Session Report Manager * Communications Session Route Manager * Communications Diameter Signaling Router (DSR) * Communications Policy Management * Communications Element Manager * Tekelec Virtual Operating Environment * Tekelec Platform Distribution * Communications LSMS * Communications EAGLE FTP Table Base Retrieval * Communications EAGLE LNP Application Processor * Enterprise Telephony Fraud Monitor * Communications Cloud Native Core Network Repository Function * Communications Cloud Native Core Policy De kwetsbaarheden stellen een kwaadwillende mogelijk in staat aanvallen uit te voeren die leiden tot de volgende categorieën schade: * Denial-of-Service (DoS) * Manipulatie van gegevens * (Remote) code execution (Gebruikersrechten) * Toegang tot gevoelige gegevens * Toegang tot systeemgegevens Een ongeauthenticeerde kwaadwillende kan de kwetsbaarheden met kenmerk CVE-2017-9841, CVE-2020-11998 en CVE-2020-17530 mogelijk misbruiken voor het uitvoeren van willekeurige code. Deze drie kwetsbaarheden bevinden zich in Diameter Signaling Router, Element Manager, Session Report Manager, Session Route Manager en Communications Policy Management. Voor CVE-2017-9841 en CVE-2020-17530 is exploitcode publiek beschikbaar. ------------------.------.------------------------------------- | CVE-ID | CVSS | Vector | |------------------|------|-------------------------------------| | CVE-2020-7226 | 7.5 | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | | CVE-2021-28165 | 7.5 | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | | CVE-2021-29425 | 5.3 | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N | | CVE-2021-23337 | 7.2 | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H | | CVE-2021-2414 | 6.8 | AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N | | CVE-2021-2416 | 4.9 | AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H | | CVE-2021-23017 | 9.4 | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L | | CVE-2021-22118 | 7.8 | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | | CVE-2021-2461 | 8.3 | AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L | | CVE-2021-2351 | 8.3 | AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H | | CVE-2020-11998 | 9.8 | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H | | CVE-2020-24750 | 8.1 | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H | | CVE-2020-28052 | 8.1 | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H | | CVE-2021-22696 | 7.5 | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | | CVE-2021-27906 | 5.5 | AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H | | CVE-2021-33037 | 5.3 | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N | | CVE-2021-36090 | 7.5 | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | | CVE-2017-9841 | 9.8 | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H | | CVE-2020-11994 | 7.5 | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | | CVE-2020-25649 | 7.5 | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N | | CVE-2020-8622 | 6.5 | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H | | CVE-2021-21783 | 9.8 | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H | | CVE-2019-10086 | 7.3 | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L | | CVE-2020-17530 | 9.8 | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H | | CVE-2020-5258 | 7.5 | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N | | CVE-2020-5398 | 7.5 | AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H | | CVE-2021-21345 | 9.9 | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H | | CVE-2021-22112 | 8.8 | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | | CVE-2021-30468 | 7.5 | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | | CVE-2020-29661 | 7.8 | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | | CVE-2021-25215 | 7.5 | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | | CVE-2021-30640 | 6.5 | AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:H/A:N | | CVE-2021-3156 | 7.8 | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | | CVE-2018-20034 | 7.5 | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | | CVE-2020-9488 | 3.7 | AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N | | CVE-2020-10543 | 8.2 | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:H | | CVE-2021-33560 | 7.5 | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | ------------------'------'------------------------------------- Mogelijke oplossingen Oracle heeft updates beschikbaar gesteld om de kwetsbaarheden te verhelpen. Voor meer informatie, zie: https://www.oracle.com/security-alerts/cpuoct2021.html Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- Version: Encryption Desktop 10.4.2 (Build 1298) Charset: utf-8 wsDVAwUBYW/+HOEs56R4sCd0AQpEZAwAoLc3BkEjgfLvlJO/0rI+rO57eYJlBlpF SRBee5ZFFr1DNDbkQzQL8nZ+Y1PGIiMy9LG8CjXd1WbGkoUGK/5wC4ztIXuQIvws vcp04a1c3yQDEH7yk7qoVayXGgcS/VOhSx8ioEAZ9XvuuKt+DF2nMomV01K60woq iBg2c5sc6+xkt8jJStssUHbY2doMGh5F5N7fUj74FO7+rmGZPjddfwvJWNntMEsb WeiCnAzZ6ItkoT7Un2zi259u2SrqErN6khWA7M4xQDoHz43Eiai8eF9wB23A3cIw xZSrUu8mDvpMVTza7cE18iGuqa2oILelYcIF+kXApQ66gZdICnD+WB7EaMIA9tYU FzIjVH18o+AEugJSFMryl/oCSUhvtRvEAZxxMGdnOJdoiDQ5jWFH0qPa5MMOCc5U 4agy1yrmI6zHi5ShVjl9X/c6eQZ7mw8vxI0R0KEKhL54U4YZskVMXljTd1BQzofi ixh1KKsnAoMeHB60o2GyyoL0WPh6pbI5 =UsC2 -----END PGP SIGNATURE-----