Oracle kritieke patch update

De drie uitgelichte kwetsbaarheden geven een aanvaller de mogelijkheid om ongeautoriseerd op afstand code uitvoeren. Deze kwetsbaarheden worden reeds uitgebuit.

• CVE-2022-22947 – CVSS-score 10
• CVE-2022-22965 – CVSS-score 9,8
• CVE-2018-1273 – CVSS-score 9,8

De overige 23 kwetsbaarheden met een CVSS-score van 9,8 kennen ook een significante impact. Raadpleeg het advies van Oracle voor volledige details met betrekking tot alle producten en betreffende kwetsbaarheden.

Wanneer een patch beschikbaar is voor uw product(en), is het advies deze te installeren. Wanneer een patch niet beschikbaar is voor een gegeven kwetsbaarheid, gelden de volgende algemene adviezen:

• Pas een work-around toe wanneer een leverancier deze beschikbaar stelt
• Beperk de toegang tot het systeem totdat een patch beschikbaar is

‍

Het Amerikaanse CISA heeft deze drie kwetsbaarheden opgenomen in hun Known Exploited Vulnerabilities (KEV) catalogus. Voor kwetsbaarheden die zijn opgenomen is in de KEV catalogus, wordt uitbuiting waargenomen in het wild.

Alle drie de kwetsbaarheden zijn gerelateerd aan het Spring Framework, waarover we eerder een artikel hebben gepubliceerd: Kwetsbaarheden in Spring Framework.

Deze kwetsbaarheden komen in de volgende producten voor:

• Oracle Commerce
• Oracle Communications
• Oracle Fusion Middleware
• Oracle Retail Applications

Oracle heeft een artikel gepubliceerd waarin de betreffende producten en versies worden genoemd. Het advies is om na te gaan of deze producten worden gebruikt en de beschikbare updates te installeren. Het artikel kun je hier vinden.

Meer informatie:

• Oracle Critical Patch Update
• NCSC heeft verschillende artikelen gepubliceerd: https://www.ncsc.nl/actueel/advisory?id=NCSC-2022-0460, https://www.ncsc.nl/actueel/advisory?id=NCSC-2022-0461, https://www.ncsc.nl/actueel/advisory?id=NCSC-2022-0462