Vulnerabilidades K2

Contacto

Jueves, 21 Julio 2022 13:12

Vulnerabilidades en productos Oracle

Vulnerabilidad Oracle

El servicio de Cyberthreats de Entelgy Innotec Security avisa de la publicación de varias vulnerabilidades que afectan a diversos productos Oracle.

Nivel de peligrosidad: CRÍTICO.

Oracle, popular compañía de software, ha publicado el aviso de seguridad correspondiente al mes de julio. En el informe se abordan 349 vulnerabilidades que afectan a varios productos de la compañía. El fabricante recomienda a los clientes que actualicen sus productos a las versiones con soporte activo y que apliquen sin demora los parches de seguridad que se sugieren para cada caso. 

A continuación, se detallan las vulnerabilidades más destacadas de este boletín por haber sido calificadas como críticas según la propia compañía. Cabe señalar que Oracle ha suprimido la descripción de las vulnerabilidades, por lo que, en ausencia de detalles adicionales, se incluye la información proporcionada por la compañía en relación al CVE asignado, el producto, versión afectada y la criticidad atribuida.

CVE

Criticidad

Producto

Componente

Versión afectada

CVE-2022-22965 

9.8

Oracle Commerce Platform

Oracle Communications Unified Inventory Management

Oracle Communications Cloud Native Core

Endeca Integration (Spring Framework)

TMF APIs (Spring Framework) 

BSF (Spring Framework)

 

11.3.2

Versiones: 7.4.1 - 7.4.2 - 7.5.0

22.1.3 

 

CVE-2022-23305 

9.8

Oracle Communications Instant Messaging Server

Oracle Communications Offline Mediation Controller

Oracle E-Business Suite Information Discovery 

Oracle Retail Extract Transform and Load



XMPP Server (Apache Log4j)




Packaging issues (Apache Log4j)

Mathematical Operators (Apache Log4j) 

10.0.1.5.0

Versiones anteriores a 12.0.0.5.1 


Versiones desde 12.2.3 hasta 12.2.11

13.2.5

CVE-2022-23632 

9.8

Oracle Communications Unified Inventory Management 

Cloud Native (Traefik)

7.5.0

CVE-2022-22947 

10 

10

10 

10

Oracle Communications Cloud Native Core Binding Support Function

 

Oracle Communications Cloud Native Core Console

 

Oracle Communications Cloud Native Core Network 

 

Oracle Communications Cloud Native Core 

BSF (Spring Cloud Gateway)

CNC Console (Spring Cloud Gateway)

NRF (Spring Cloud Gateway)

SEPP (Spring Cloud Gateway)

 

22.1.3

22.2.0

Versiones: 22.1.2 22.2.0

22.1.1

CVE-2022-23219 

9.8

Oracle Communications Cloud Native Core Binding Support Function

 

Oracle Communications Cloud Native Core Network Function Cloud Native Environment

 

Oracle Communications Cloud Native Core Network Repository Function 

 

Oracle Communications Cloud Native Core Security 

 

Oracle Communications Cloud Native Core Unified  

 

Oracle Enterprise Operations Monitor

 

BSF (glibc)

CNE (glibc)

NRF (glibc)

SEPP (glibc)

UDR (glibc)

Mediation Engine (glibc) 

 

22.1.3

22.1.0

Versiones: 22.1.2 22.2.0

22.1.1 

22.2.0

Versiones: 4.3 4.4 5.0 

CVE-2022-1154 

9.8

Oracle Communications Cloud Native Core Network Exposure Function 

NEF (vim)

22.1.1

CVE-2022-25845 

9.8

Oracle Communications Cloud Native Core Unified Data Repository 

UDR (fastjson)

22.2.0

CVE-2022-22721 

9.8

Enterprise Manager Ops Center

Networking (Apache HTTP Server)

12.4.0.0

CVE-2022-1292 

9.8

Enterprise Manager Ops Center

 

MySQL Server

 

MySQL Workbench

Networking (OpenSSL)

 

Server: Packaging (OpenSSL)

 

Workbench (OpenSSL) 

12.4.0.0

 

Versión 5.7.38 y anteriores Versión 8.0.29 anteriores 

 

Versión 8.0.29 y anteriores

CVE-2022-21543 

9.8

PeopleSoft Enterprise PeopleTools

Updates Environment Mgmt

Versiones: 8.58 8.59

CVE-2022-23457 

9.8

Oracle WebLogic Server

Centralized Third Party Jars (OWASP Enterprise Security API) 

Versiones: 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0

CVE-2022-22978 

9.8

Oracle Financial Services Crime

Studio (Spring Security) 

Versiones: 8.0.8.2.0 8.0.8.3.0 

CVE-2022-22963 

9.8

Oracle Communications Cloud Native Core

 

Oracle Communications Cloud 

 

Oracle Banking Branch

 

Oracle Banking Cash

 

Oracle Banking Corporate Lending 

 

Oracle Banking Credit Facilities 

 

Oracle Banking Electronic Data Exchange for Corporates

 

Oracle Banking Liquidity  

 

Oracle Banking Origination

 

Oracle Banking Supply Chain Finance

 

Oracle Banking Trade Finance  

 

Oracle Banking Virtual Account Management 

DBTier (Spring Cloud Function)

Policy (Spring Cloud Function) 

 

Common (Spring Cloud Function) 

22.1.2

 22.1.3







14.5

 















Versiones: 14.2 - 14.5


14.5

Recursos afectados:

  • Oracle Database Server Risk Matrix.
  • Oracle Commerce Risk Matrix.
  • Oracle Communications Applications Risk Matrix.
  • Oracle Communications Risk Matrix.
  • Oracle E-Business Suite Risk Matrix.
  • Oracle Enterprise Manager Risk Matrix.
  • Oracle Financial Services Applications Risk Matrix.
  • Oracle Fusion Middleware Risk Matrix.
  • Oracle Hospitality Applications Risk Matrix.
  • Oracle JD Edwards Risk Matrix.
  • Oracle MySQL Risk Matrix.
  • Oracle PeopleSoft Risk Matrix.
  • Oracle Retail Applications Risk Matrix.
  • Oracle Supply Chain Risk Matrix. 

Solución a las vulnerabilidades:

Oracle ha publicado las actualizaciones para cada producto en la sección de “Productos afectados e información sobre parches” de su boletín de seguridad del mes de julio, por lo que se recomienda visitar los enlaces disponibles para cada producto concreto, siendo necesario autenticarse como cliente para acceder a la documentación sobre los parches e instrucciones de instalación. Oracle continúa recibiendo periódicamente informes de intentos de explotar maliciosamente vulnerabilidades para las que la compañía ya ha publicado parches de seguridad. En algunos casos, se ha informado que los atacantes han tenido éxito porque los clientes objetivo no habían aplicado los parches de Oracle disponibles. Por lo tanto, se recomienda encarecidamente que los clientes actualicen a las versiones con soporte activo.

Recomendaciones:

El CSIRT de Entelgy Innotec Security recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad oficiales publicados por el fabricante, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos. Por el momento, no se conocen medidas de mitigación alternativas para estas vulnerabilidades en caso de no ser posible aplicar las actualizaciones descritas.

Referencias:

Artículos relacionados

Publicado en Vulnerabilidades
Etiquetado como
Más en esta categoría: « Vulnerabilidades en productos Adobe Vulnerabilidades en productos Cisco Nexus Dashboard »
volver arriba

Certificaciones

27001 ISO-22301 Certificado de conformidad con el ENS ALTO, Innotec System, S.L.U Certificado CREST Certificado AWS Certificado AWS Certificado Microsoft Certificado Leet Servicios de consultoria Certificado Leet Seguridad gestionada

Miembros de

FIRSTFIRST TRUSTED INTRODUCER CSIRT CCI ISACA ISMS

The BusinessTech Consultancy

Innovación

Insights

Contacto

Entrada no válida
Entrada no válida

Acepta la política de privacidad

Entrada no válida
Entrada no válida

S5 Box