Gravedad: Alta Vulnerabilidad: CVE-2020-2734 / CVE-2020-2514 / CVE-2016-7103 / CVE-2019-2853 / CVE-2020-2737 / CVE-2019-17563 / CVE-2016-10251 / CVE-2020-2735
Fecha de publicación: Abril 21, 2020
Última revisión: Abril 21, 2020
Portal: https://www.oracle.com/security-alerts/cpuapr2020.html?1408
Sistemas Afectados:
Vulnerabilidades de seguridad que afectan a diversos productos de Oracle Database, ver en impacto en los sistemas afectados según cada vulnerabilidad.
I. Descripción
Actualización de Oracle Database referente a múltiples vulnerabilidades críticas que afectan a sus productos, versiones corregidas mediante la versión publicada por el fabricante.
• Vulnerabilidad: CVE-2020-2734
Descripción: Debido a una inapropiada validación de datos ingresados con “RDBMS/Optimizer” en el servidor, un atacante remoto privilegiado podría explotar esta vulnerabilidad para conseguir acceso a información potencialmente sensible.
Productos Afectados: Oracle Database versiones 19c, 18c, 12.2.0.1 y 12.1.0.2.
Mitigación: Actualizar a la versión publicada por el fabricante.
Enlaces:https://www.oracle.com/security-alerts/cpuapr2020.html?1408
• Vulnerabilidad: CVE-2020-2514
Descripción: Debido a una inapropiada validación de datos con Oracle Apex en el servidor, un atacante remoto autenticado podría explotar esta vulnerabilidad para eliminar o manipular datos.
Productos Afectados: Oracle Apex versiones 19.1, 19.0, 18.2, 18.1, 18.0.
Mitigación: Actualizar a la versión publicada por el fabricante.
Enlaces: https://www.oracle.com/security-alerts/cpuapr2020.html?1408
• Vulnerabilidad: CVE-2016-7103
Descripción: Debido a un error de validación de datos en jQuery UI versiones anteriores a la 1.12.0, un atacante remoto autenticado podría engañar a una víctima para que acceda a un enlace especialmente diseñado y así ejecutar código script y HTML arbitrario en el navegador de la víctima en el contexto de seguridad del sitio web vulnerable. Una explotación exitosa permitiría a un atacante realizar ataques phishing, cambiar la apariencia del sitio, robar información potencialmente sensible, entre otros.
Productos Afectados: Oracle Apex versiones 19.0, 18.2, 18.1, 18.0.
Mitigación: Actualizar a la versión publicada por el fabricante.
Enlaces: https://www.oracle.com/security-alerts/cpuapr2020.html?1408
• Vulnerabilidad: CVE-2019-2853
Descripción: Debido a una inapropiada validación de datos con “Oracle Text” en el servidor, un atacante remoto y autenticado podría explotar esta vulnerabilidad para leer y manipular datos.
Productos Afectados: Oracle Database versiones 19c, 18c, 12.2.0.1, 12.1.0.2 y 11.2.0.4.
Mitigación: Actualizar a la versión publicada por el fabricante.
Enlaces: https://www.oracle.com/security-alerts/cpuapr2020.html?1408
• Vulnerabilidad: CVE-2020-2737
Descripción: Debido a una inapropiada validación de datos con “Core RDBMS” en el servidor, un atacante privilegiado podría explotar esta vulnerabilidad para lograr ejecutar código de forma arbitraria.
Productos Afectados: Oracle Database versiones 19c, 18c, 12.2.0.1, 12.1.0.2 y 11.2.0.4.
Mitigación: Actualizar a la versión publicada por el fabricante.
Enlaces: https://www.oracle.com/security-alerts/cpuapr2020.html?1408
• Vulnerabilidad: CVE-2019-17563
Descripción: Debido a una condición de carrera cuando el formulario de autenticación es utilizado en Apache Tomcat, un atacante remoto podría usar una ventana estrecha para realizar un ataque de fijación de sesión (Session fixation).
Productos Afectados: Oracle Database versiones 19c, 18c y 12.2.0.1.
Mitigación: Actualizar a la versión publicada por el fabricante.
Enlaces: https://www.oracle.com/security-alerts/cpuapr2020.html?1408
• Vulnerabilidad: CVE-2016-10251
Descripción: Debido a una inapropiada validación de datos con “Oracle Multimedia” en el servidor, un atacante remoto y autenticado podría explotar esta vulnerabilidad para lograr ejecutar código de forma arbitraria.
Productos Afectados: Oracle Database versión 12.1.0.2.
Mitigación: Actualizar a la versión publicada por el fabricante.
Enlaces: https://www.oracle.com/security-alerts/cpuapr2020.html?1408
• Vulnerabilidad: CVE-2020-2735
Descripción: Debido a una inapropiada validación de datos con “Java VM” en el servidor, un atacante remoto y autenticado podría explotar esta vulnerabilidad para lograr ejecutar código de forma.
Productos Afectados: Oracle Database versiones 19c, 18c, 12.2.0.1, 12.1.0.2 y 11.2.0.4.
Mitigación: Actualizar a la versión publicada por el fabricante.
Enlaces: https://www.oracle.com/security-alerts/cpuapr2020.html?1408
III. Referencia a soluciones, herramientas e información
Actualizar a la versión publicada por el fabricante, de acuerdo a cada producto, ver en impacto según cada vulnerabilidad.
Fuentes:
• Common Vulnerabilities and Exposures (CVE). Recopilado en: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2734
• Common Vulnerabilities and Exposures (CVE). Recopilado en: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2514
• Common Vulnerabilities and Exposures (CVE). Recopilado en: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-7103
• Common Vulnerabilities and Exposures (CVE). Recopilado en: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2853
• Common Vulnerabilities and Exposures (CVE). Recopilado en:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2737
• Common Vulnerabilities and Exposures (CVE). Recopilado en:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17563
• Common Vulnerabilities and Exposures (CVE). Recopilado en:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-10251
• Common Vulnerabilities and Exposures (CVE). Recopilado en:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2735
• CSIRT Chile. 17 de abril del 2020. Vulnerabilidades. Recopilado en: https://www.csirt.gob.cl/vulnerabilidades/9vsa20-00182-01/
Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124