Nivel de peligrosidad: CRÍTICO.
Oracle, popular compañía de software, ha publicado el aviso de seguridad correspondiente al mes de julio. En el informe se abordan 349 vulnerabilidades que afectan a varios productos de la compañía. El fabricante recomienda a los clientes que actualicen sus productos a las versiones con soporte activo y que apliquen sin demora los parches de seguridad que se sugieren para cada caso.
A continuación, se detallan las vulnerabilidades más destacadas de este boletín por haber sido calificadas como críticas según la propia compañía. Cabe señalar que Oracle ha suprimido la descripción de las vulnerabilidades, por lo que, en ausencia de detalles adicionales, se incluye la información proporcionada por la compañía en relación al CVE asignado, el producto, versión afectada y la criticidad atribuida.
CVE |
Criticidad |
Producto |
Componente |
Versión afectada |
CVE-2022-22965 |
9.8 |
Oracle Commerce Platform Oracle Communications Unified Inventory Management Oracle Communications Cloud Native Core |
Endeca Integration (Spring Framework) TMF APIs (Spring Framework) BSF (Spring Framework) |
11.3.2 Versiones: 7.4.1 - 7.4.2 - 7.5.0 22.1.3
|
CVE-2022-23305 |
9.8 |
Oracle Communications Instant Messaging Server Oracle Communications Offline Mediation Controller Oracle E-Business Suite Information Discovery Oracle Retail Extract Transform and Load |
Mathematical Operators (Apache Log4j) |
10.0.1.5.0 Versiones anteriores a 12.0.0.5.1 13.2.5 |
CVE-2022-23632 |
9.8 |
Oracle Communications Unified Inventory Management |
Cloud Native (Traefik) |
7.5.0 |
CVE-2022-22947 |
10 10 10 10 |
Oracle Communications Cloud Native Core Binding Support Function
Oracle Communications Cloud Native Core Console
Oracle Communications Cloud Native Core Network
Oracle Communications Cloud Native Core |
BSF (Spring Cloud Gateway) CNC Console (Spring Cloud Gateway) NRF (Spring Cloud Gateway) SEPP (Spring Cloud Gateway) |
22.1.3 22.2.0 Versiones: 22.1.2 22.2.0 22.1.1 |
CVE-2022-23219 |
9.8 |
Oracle Communications Cloud Native Core Binding Support Function
Oracle Communications Cloud Native Core Network Function Cloud Native Environment
Oracle Communications Cloud Native Core Network Repository Function
Oracle Communications Cloud Native Core Security
Oracle Communications Cloud Native Core Unified
Oracle Enterprise Operations Monitor |
BSF (glibc) CNE (glibc) NRF (glibc) SEPP (glibc) UDR (glibc) Mediation Engine (glibc) |
22.1.3 22.1.0 Versiones: 22.1.2 22.2.0 22.1.1 22.2.0 Versiones: 4.3 4.4 5.0 |
CVE-2022-1154 |
9.8 |
Oracle Communications Cloud Native Core Network Exposure Function |
NEF (vim) |
22.1.1 |
CVE-2022-25845 |
9.8 |
Oracle Communications Cloud Native Core Unified Data Repository |
UDR (fastjson) |
22.2.0 |
CVE-2022-22721 |
9.8 |
Enterprise Manager Ops Center |
Networking (Apache HTTP Server) |
12.4.0.0 |
CVE-2022-1292 |
9.8 |
Enterprise Manager Ops Center
MySQL Server
MySQL Workbench |
Networking (OpenSSL)
Server: Packaging (OpenSSL)
Workbench (OpenSSL) |
12.4.0.0
Versión 5.7.38 y anteriores Versión 8.0.29 anteriores
Versión 8.0.29 y anteriores |
CVE-2022-21543 |
9.8 |
PeopleSoft Enterprise PeopleTools |
Updates Environment Mgmt |
Versiones: 8.58 8.59 |
CVE-2022-23457 |
9.8 |
Oracle WebLogic Server |
Centralized Third Party Jars (OWASP Enterprise Security API) |
Versiones: 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0 |
CVE-2022-22978 |
9.8 |
Oracle Financial Services Crime |
Studio (Spring Security) |
Versiones: 8.0.8.2.0 8.0.8.3.0 |
CVE-2022-22963 |
9.8 |
Oracle Communications Cloud Native Core
Oracle Communications Cloud
Oracle Banking Branch
Oracle Banking Cash
Oracle Banking Corporate Lending
Oracle Banking Credit Facilities
Oracle Banking Electronic Data Exchange for Corporates
Oracle Banking Liquidity
Oracle Banking Origination
Oracle Banking Supply Chain Finance
Oracle Banking Trade Finance
Oracle Banking Virtual Account Management |
DBTier (Spring Cloud Function) Policy (Spring Cloud Function)
Common (Spring Cloud Function) |
22.1.2 22.1.3 14.5
Versiones: 14.2 - 14.5 |
Recursos afectados:
- Oracle Database Server Risk Matrix.
- Oracle Commerce Risk Matrix.
- Oracle Communications Applications Risk Matrix.
- Oracle Communications Risk Matrix.
- Oracle E-Business Suite Risk Matrix.
- Oracle Enterprise Manager Risk Matrix.
- Oracle Financial Services Applications Risk Matrix.
- Oracle Fusion Middleware Risk Matrix.
- Oracle Hospitality Applications Risk Matrix.
- Oracle JD Edwards Risk Matrix.
- Oracle MySQL Risk Matrix.
- Oracle PeopleSoft Risk Matrix.
- Oracle Retail Applications Risk Matrix.
- Oracle Supply Chain Risk Matrix.
Solución a las vulnerabilidades:
Oracle ha publicado las actualizaciones para cada producto en la sección de “Productos afectados e información sobre parches” de su boletín de seguridad del mes de julio, por lo que se recomienda visitar los enlaces disponibles para cada producto concreto, siendo necesario autenticarse como cliente para acceder a la documentación sobre los parches e instrucciones de instalación. Oracle continúa recibiendo periódicamente informes de intentos de explotar maliciosamente vulnerabilidades para las que la compañía ya ha publicado parches de seguridad. En algunos casos, se ha informado que los atacantes han tenido éxito porque los clientes objetivo no habían aplicado los parches de Oracle disponibles. Por lo tanto, se recomienda encarecidamente que los clientes actualicen a las versiones con soporte activo.
Recomendaciones:
El CSIRT de Entelgy Innotec Security recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad oficiales publicados por el fabricante, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos. Por el momento, no se conocen medidas de mitigación alternativas para estas vulnerabilidades en caso de no ser posible aplicar las actualizaciones descritas.
Referencias: