-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
Titel : Kwetsbaarheden verholpen in Oracle
Communications-producten
Advisory ID : NCSC-2021-0906
Versie : 1.00
Kans : high
CVE ID : CVE-2017-9841, CVE-2018-20034, CVE-2019-10086,
CVE-2020-5258, CVE-2020-5398, CVE-2020-7226,
CVE-2020-8622, CVE-2020-9488, CVE-2020-10543,
CVE-2020-10878, CVE-2020-11994, CVE-2020-11998,
CVE-2020-17530, CVE-2020-24750, CVE-2020-25649,
CVE-2020-28052, CVE-2020-29661, CVE-2021-2351,
CVE-2021-2414, CVE-2021-2416, CVE-2021-2461,
CVE-2021-3156, CVE-2021-21345, CVE-2021-21783,
CVE-2021-22112, CVE-2021-22118, CVE-2021-22696,
CVE-2021-23017, CVE-2021-23337, CVE-2021-25215,
CVE-2021-27906, CVE-2021-28165, CVE-2021-29425,
CVE-2021-30468, CVE-2021-30640, CVE-2021-33037,
CVE-2021-33560, CVE-2021-36090
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: https://cve.mitre.org/cve/)
Schade : medium
Denial-of-Service (DoS)
Manipulatie van gegevens
(Remote) code execution (Gebruikersrechten)
Toegang tot gevoelige gegevens
Toegang tot systeemgegevens
Uitgiftedatum : 20211020
Toepassing : Oracle Communications
Versie(s) :
Platform(s) :
Beschrijving
Oracle heeft kwetsbaarheden verholpen in de volgende
Communications-producten:
* Communications Services Gatekeeper
* Communications Converged Application Server - Service Controller
* Communications Session Border Controller
* Enterprise Communications Broker
* Communications Operations Monitor
* Communications Fraud Monitor
* Communications Control Plane Monitor
* Communications Interactive Session Recorder
* Communications EAGLE (Software)
* Communications Application Session Controller
* Communications Session Report Manager
* Communications Session Route Manager
* Communications Diameter Signaling Router (DSR)
* Communications Policy Management
* Communications Element Manager
* Tekelec Virtual Operating Environment
* Tekelec Platform Distribution
* Communications LSMS
* Communications EAGLE FTP Table Base Retrieval
* Communications EAGLE LNP Application Processor
* Enterprise Telephony Fraud Monitor
* Communications Cloud Native Core Network Repository Function
* Communications Cloud Native Core Policy
De kwetsbaarheden stellen een kwaadwillende mogelijk in staat
aanvallen uit te voeren die leiden tot de volgende categorieën
schade:
* Denial-of-Service (DoS)
* Manipulatie van gegevens
* (Remote) code execution (Gebruikersrechten)
* Toegang tot gevoelige gegevens
* Toegang tot systeemgegevens
Een ongeauthenticeerde kwaadwillende kan de kwetsbaarheden met
kenmerk CVE-2017-9841, CVE-2020-11998 en CVE-2020-17530 mogelijk
misbruiken voor het uitvoeren van willekeurige code. Deze drie
kwetsbaarheden bevinden zich in Diameter Signaling Router, Element
Manager, Session Report Manager, Session Route Manager en
Communications Policy Management. Voor CVE-2017-9841 en
CVE-2020-17530 is exploitcode publiek beschikbaar.
------------------.------.-------------------------------------
| CVE-ID | CVSS | Vector |
|------------------|------|-------------------------------------|
| CVE-2020-7226 | 7.5 | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
| CVE-2021-28165 | 7.5 | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
| CVE-2021-29425 | 5.3 | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
| CVE-2021-23337 | 7.2 | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
| CVE-2021-2414 | 6.8 | AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N |
| CVE-2021-2416 | 4.9 | AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H |
| CVE-2021-23017 | 9.4 | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L |
| CVE-2021-22118 | 7.8 | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2021-2461 | 8.3 | AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L |
| CVE-2021-2351 | 8.3 | AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H |
| CVE-2020-11998 | 9.8 | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| CVE-2020-24750 | 8.1 | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
| CVE-2020-28052 | 8.1 | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
| CVE-2021-22696 | 7.5 | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
| CVE-2021-27906 | 5.5 | AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
| CVE-2021-33037 | 5.3 | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N |
| CVE-2021-36090 | 7.5 | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
| CVE-2017-9841 | 9.8 | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| CVE-2020-11994 | 7.5 | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
| CVE-2020-25649 | 7.5 | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
| CVE-2020-8622 | 6.5 | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
| CVE-2021-21783 | 9.8 | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| CVE-2019-10086 | 7.3 | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L |
| CVE-2020-17530 | 9.8 | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| CVE-2020-5258 | 7.5 | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
| CVE-2020-5398 | 7.5 | AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H |
| CVE-2021-21345 | 9.9 | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
| CVE-2021-22112 | 8.8 | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2021-30468 | 7.5 | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
| CVE-2020-29661 | 7.8 | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2021-25215 | 7.5 | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
| CVE-2021-30640 | 6.5 | AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:H/A:N |
| CVE-2021-3156 | 7.8 | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVE-2018-20034 | 7.5 | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
| CVE-2020-9488 | 3.7 | AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N |
| CVE-2020-10543 | 8.2 | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:H |
| CVE-2021-33560 | 7.5 | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
------------------'------'-------------------------------------
Mogelijke oplossingen
Oracle heeft updates beschikbaar gesteld om de kwetsbaarheden te
verhelpen. Voor meer informatie, zie:
https://www.oracle.com/security-alerts/cpuoct2021.html
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8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=UsC2
-----END PGP SIGNATURE-----
