Deze liveblog bevat informatie over de Oracle kritieke patch update. Zodra we een update hebben voegen we die aan deze blog toe. Meer informatie over mogelijke risico’s en details worden onderaan deze blog geplaatst. Laatste update op 21 juli 2022.
Update 21 juli 2022
15:00 | Op 18 juli 2022 bracht Oracle hun meest recente kwartaal patch-update uit. Deze bevat 349 nieuwe security patches. In totaal zijn 188 CVE’s geadresseerd. De meest kritieke kwetsbaarheden bevinden zich in de volgende producten:
- Oracle Commerce
- Oracle Communications
- Oracle Fusion Middleware
- Oracle Retail Applications
Wij adviseren om het advies van Oracle te volgen en na te gaan of uw producten kwetsbaar zijn en de beschikbare software updates zo snel mogelijk toe te passen.
Aanleiding en achtergrond van deze blog
Deze blog bevat informatie over kwetsbaarheden, het mogelijke risico en advies om schade te voorkomen of beperken. Onderstaand staan de mogelijke risico’s, details en achtergrondinformatie.
Potentieel risico
De drie uitgelichte kwetsbaarheden geven een aanvaller de mogelijkheid om ongeautoriseerd op afstand code uitvoeren. Deze kwetsbaarheden worden reeds uitgebuit.
- CVE-2022-22947 – CVSS-score 10
- CVE-2022-22965 – CVSS-score 9,8
- CVE-2018-1273 – CVSS-score 9,8
De overige 23 kwetsbaarheden met een CVSS-score van 9,8 kennen ook een significante impact. Raadpleeg het advies van Oracle voor volledige details met betrekking tot alle producten en betreffende kwetsbaarheden.
Wanneer een patch beschikbaar is voor uw product(en), is het advies deze te installeren. Wanneer een patch niet beschikbaar is voor een gegeven kwetsbaarheid, gelden de volgende algemene adviezen:
- Pas een work-around toe wanneer een leverancier deze beschikbaar stelt
- Beperk de toegang tot het systeem totdat een patch beschikbaar is
Detailinfo
Oracle heeft 349 security patches uitgebracht voor producten uit de verschillende productfamilies, waarmee 188 kwetsbaarheden zijn verholpen. Kwetsbaarheid CVE2-22947 heeft een CVSS-score van 10, de hoogst mogelijke waarde. Daarnaast zijn er 25 kwetsbaarheden met een score van 9,8. De CVSS-schaal loopt van 0 tot 10. Een score van 9,8 of hoger is zeldzaam en impliceert een hoog risico op misbruik met een hoge impact.
In dit artikel lichten we drie kwetsbaarheden uit die op het moment van schrijven reeds worden uitgebuit:
- CVE-2022-22947 – CVSS-score 10
- CVE-2022-22965 – CVSS-score 9,8
- CVE-2018-1273 – CVSS-score 9,8
Het Amerikaanse CISA heeft deze drie kwetsbaarheden opgenomen in hun Known Exploited Vulnerabilities (KEV) catalogus. Voor kwetsbaarheden die zijn opgenomen is in de KEV catalogus, wordt uitbuiting waargenomen in het wild.
Alle drie de kwetsbaarheden zijn gerelateerd aan het Spring Framework, waarover we eerder een artikel hebben gepubliceerd: Kwetsbaarheden in Spring Framework.
Deze kwetsbaarheden komen in de volgende producten voor:
- Oracle Commerce
- Oracle Communications
- Oracle Fusion Middleware
- Oracle Retail Applications
Oracle heeft een artikel gepubliceerd waarin de betreffende producten en versies worden genoemd. Het advies is om na te gaan of deze producten worden gebruikt en de beschikbare updates te installeren. Het artikel kunt u hier vinden.
Achtergrond
Meer informatie:
- Oracle Critical Patch Update
- NCSC heeft verschillende artikelen gepubliceerd: https://www.ncsc.nl/actueel/advisory?id=NCSC-2022-0460, https://www.ncsc.nl/actueel/advisory?id=NCSC-2022-0461, https://www.ncsc.nl/actueel/advisory?id=NCSC-2022-0462
Aanmelden
Wilt u tijdig geïnformeerd worden? Schrijf u dan in voor onze technische updates
Wilt u de kritieke kwetsbaarheden voortaan ook per e-mail ontvangen? Abonneer u dan op de nieuwbrief.
Tesorion gebruikt uw gegevens voor het versturen van de gevraagde informatie en mogelijk telefonisch contact. U kunt zich op elk gewenst moment afmelden. Lees voor meer informatie ons privacybeleid.