CSIRT Panamá Aviso 2020-10-29 Oracle: Actualizaciones críticas en Oracle (octubre 2020).

Posted By: CSIRT Panamá October 29, 2020

Gravedad: Alta                                                                                                   

Fecha de publicación: Octubre 29, 2020
Última revisión: Octubre 29, 2020
Portal: https://www.oracle.com/

Sistemas Afectados: Diversas vulnerabilidades que afectan a todas las versiones de Oracle.

  1. Descripción

Oracle ha publicado una actualización crítica con parches para corregir vulnerabilidades que afectan a múltiples productos.

  1. Impacto

Esta actualización resuelve un total de 402 vulnerabilidades, algunas de las cuales son críticas.

Los recursos afectados son:

  • Application Performance Management (APM), versiones 13.3.0.0, 13.4.0.0;
  • Big Data Spatial and Graph, versiones anteriores a 3.0;
  • Enterprise Manager Base Platform, versiones 13.2.1.0, 13.3.0.0, 13.4.0.0;
  • Enterprise Manager for Peoplesoft, versión 13.4.1.1;
  • Enterprise Manager for Storage Management, versiones 13.3.0.0, 13.4.0.0;
  • Enterprise Manager Ops Center, versión 12.4.0.0;
  • Fujitsu M10-1, M10-4, M10-4S, M12-1, M12-2, M12-2S Servers, versiones anteriores a XCP2362, y anteriores a XCP3090;
  • Fujitsu M12-1, M12-2, M12-2S Servers, versiones anteriores a XCP3090;
  • Hyperion Analytic Provider Services, versión 11.1.2.4;
  • Hyperion BI+, versión 11.1.2.4;
  • Hyperion Essbase, versión 11.1.2.4;
  • Hyperion Infrastructure Technology, versión 11.1.2.4;
  • Hyperion Lifecycle Management, versión 11.1.2.4;
  • Hyperion Planning, versión 11.1.2.4;
  • Identity Manager Connector, versión 9.0;
  • Instantis EnterpriseTrack, versiones 17.1, 17.2, 17.3;
  • Management Pack for Oracle GoldenGate, versión 12.2.1.2.0;
  • MySQL Cluster, versiones 7.3.30 y anteriores, 7.4.29 y anteriores, 7.5.19 y anteriores, 7.6.15 y anteriores, 8.0.21 y anteriores;
  • MySQL Enterprise Monitor, versiones 8.0.21 y anteriores;
  • MySQL Server, versiones 5.6.49 y anteriores, 5.7.31 y anteriores, 8.0.21 y anteriores;
  • MySQL Workbench, versiones 8.0.21 y anteriores;
  • Oracle Access Manager, versión 11.1.2.3.0;
  • Oracle Agile PLM, versiones 9.3.3, 9.3.5, 9.3.6;
  • Oracle Agile Product Lifecycle Management for Process, versión 6.2.0.0;
  • Oracle Application Express, versiones anteriores a 20.2;
  • Oracle Application Testing Suite, versión 13.3.0.1;
  • Oracle Banking Corporate Lending, versiones 12.3.0, 14.0.0-14.4.0;
  • Oracle Banking Digital Experience, versiones 18.1, 18.2, 18.3, 19.1, 19.2, 20.1;
  • Oracle Banking Payments, versiones 14.1.0-14.4.0;
  • Oracle Banking Platform, versiones 2.4.0-2.10.0;
  • Oracle BI Publisher, versiones 5.5.0.0.0, 11.1.1.9.0, 12.2.1.3.0, 12.2.1.4.0;
  • Oracle Business Intelligence Enterprise Edition, versiones 5.5.0.0.0, 11.1.1.9.0, 12.2.1.3.0, 12.2.1.4.0;
  • Oracle Business Process Management Suite, versiones 12.2.1.3.0, 12.2.1.4.0;
  • Oracle Communications Application Session Controller, versiones 3.8m0, 3.9m0p1;
  • Oracle Communications Billing and Revenue Management, versiones 7.5.0.23.0, 12.0.0.2.0, 12.0.0.3.0;
  • Oracle Communications BRM – Elastic Charging Engine, versiones 11.3.0.9.0, 12.0.0.3.0;
  • Oracle Communications Diameter Signaling Router (DSR), versiones 8.0.0.0-8.4.0.5, [IDIH] 8.0.0-8.2.2;
  • Oracle Communications EAGLE Software, versiones 46.6.0-46.8.2;
  • Oracle Communications Element Manager, versiones 8.2.0-8.2.2;
  • Oracle Communications Evolved Communications Application Server, versión 7.1;
  • Oracle Communications Messaging Server, versión 8.1;
  • Oracle Communications Offline Mediation Controller, versión 12.0.0.3.0;
  • Oracle Communications Services Gatekeeper, versión 7;
  • Oracle Communications Session Border Controller, versiones 8.2-8.4;
  • Oracle Communications Session Report Manager, versiones 8.2.0-8.2.2;
  • Oracle Communications Session Route Manager, versiones 8.2.0-8.2.2;
  • Oracle Communications Unified Inventory Management, versiones 7.3.0, 7.4.0;
  • Oracle Communications WebRTC Session Controller, versión 7.2;
  • Oracle Data Integrator, versiones 11.1.1.9.0, 12.2.1.3.0;
  • Oracle Database Server, versiones 11.2.0.4, 12.1.0.2, 12.2.0.1, 18c, 19c;
  • Oracle E-Business Suite, versiones 12.1.1-12.1.3, 12.2.3-12.2.10;
  • Oracle Endeca Information Discovery Integrator, versión 3.2.0;
  • Oracle Endeca Information Discovery Studio, versión 3.2.0;
  • Oracle Enterprise Repository, versión 11.1.1.7.0;
  • Oracle Enterprise Session Border Controller, versión 8.4;
  • Oracle Financial Services Analytical Applications Infrastructure, versiones 8.0.6-8.1.0;
  • Oracle Financial Services Analytical Applications Reconciliation Framework, versiones 8.0.6-8.0.8, 8.1.0;
  • Oracle Financial Services Asset Liability Management, versiones 8.0.6, 8.0.7, 8.1.0;
  • Oracle Financial Services Balance Sheet Planning, versión 8.0.8;
  • Oracle Financial Services Basel Regulatory Capital Basic, versiones 8.0.6-8.0.8, 8.1.0;
  • Oracle Financial Services Basel Regulatory Capital Internal Ratings Based Approach, versiones 8.0.6-8.0.8, 8.1.0;
  • Oracle Financial Services Data Foundation, versiones 8.0.6-8.1.0;
  • Oracle Financial Services Data Governance for US Regulatory Reporting, versiones 8.0.6-8.0.9;
  • Oracle Financial Services Data Integration Hub, versiones 8.0.6, 8.0.7, 8.1.0;
  • Oracle Financial Services Funds Transfer Pricing, versiones 8.0.6, 8.0.7, 8.1.0;
  • Oracle Financial Services Hedge Management and IFRS Valuations, versiones 8.0.6-8.0.8, 8.1.0;
  • Oracle Financial Services Institutional Performance Analytics, versiones 8.0.6, 8.0.7, 8.1.0, 8.7.0;
  • Oracle Financial Services Liquidity Risk Management, versión 8.0.6;
  • Oracle Financial Services Liquidity Risk Measurement and Management, versiones 8.0.7, 8.0.8, 8.1.0;
  • Oracle Financial Services Loan Loss Forecasting and Provisioning, versiones 8.0.6-8.0.8, 8.1.0;
  • Oracle Financial Services Market Risk Measurement and Management, versiones 8.0.6, 8.0.8, 8.1.0;
  • Oracle Financial Services Price Creation and Discovery, versiones 8.0.6, 8.0.7;
  • Oracle Financial Services Profitability Management, versiones 8.0.6, 8.0.7, 8.1.0;
  • Oracle Financial Services Regulatory Reporting for European Banking Authority, versiones 8.0.6-8.1.0;
  • Oracle Financial Services Regulatory Reporting for US Federal Reserve, versiones 8.0.6-8.0.9;
  • Oracle Financial Services Regulatory Reporting with AgileREPORTER, versión 8.0.9.2.0;
  • Oracle Financial Services Retail Customer Analytics, versión 8.0.6;
  • Oracle FLEXCUBE Core Banking, versiones 5.2.0, 11.5.0-11.7.0;
  • Oracle FLEXCUBE Direct Banking, versiones 12.0.1, 12.0.2, 12.0.3;
  • Oracle FLEXCUBE Private Banking, versiones 12.0.0, 12.1.0;
  • Oracle FLEXCUBE Universal Banking, versiones 12.3.0, 14.0.0-14.4.0;
  • Oracle GoldenGate Application Adapters, versiones 12.3.2.1.0, 19.1.0.0.0;
  • Oracle GraalVM Enterprise Edition, versiones 19.3.3, 20.2.0;
  • Oracle Health Sciences Empirica Signal, versión 9.0;
  • Oracle Healthcare Data Repository, versión 7.0.1;
  • Oracle Healthcare Foundation, versiones 7.1.1, 7.2.0, 7.2.1, 7.3.0;
  • Oracle Hospitality Guest Access, versiones 4.2.0, 4.2.1;
  • Oracle Hospitality Materials Control, versión 18.1;
  • Oracle Hospitality OPERA 5 Property Services, versiones 5.5, 5.6;
  • Oracle Hospitality Reporting and Analytics, versión 9.1.0;
  • Oracle Hospitality RES 3700, versión 5.7;
  • Oracle Hospitality Simphony, versiones 18.1, 18.2, 19.1.0-19.1.2;
  • Oracle Hospitality Suite8, versiones 8.10.2, 8.11-8.15;
  • Oracle HTTP Server, versiones 12.2.1.3.0, 12.2.1.4.0;
  • Oracle Insurance Accounting Analyzer, versión 8.0.9;
  • Oracle Insurance Allocation Manager for Enterprise Profitability, versiones 8.0.8, 8.1.0;
  • Oracle Insurance Data Foundation, versiones 8.0.6-8.1.0;
  • Oracle Insurance Insbridge Rating and Underwriting, versiones 5.0.0.0-5.6.0.0, 5.6.1.0;
  • Oracle Insurance Policy Administration J2EE, versiones 10.2.0.37, 10.2.4.12, 11.0.2.25, 11.1.0.15, 11.2.0.26, 11.2.2.0;
  • Oracle Insurance Rules Palette, versiones 10.2.0.37, 10.2.4.12, 11.0.2.25, 11.1.0.15, 11.2.0.26;
  • Oracle Java SE, versiones 7u271, 8u261, 11.0.8, 15;
  • Oracle Java SE Embedded, versión 8u261;
  • Oracle JDeveloper, versiones 11.1.1.9.0, 12.2.1.3.0, 12.2.1.4.0;
  • Oracle Managed File Transfer, versiones 12.2.1.3.0, 12.2.1.4.0;
  • Oracle Outside In Technology, versiones 8.5.4, 8.5.5;
  • Oracle Policy Automation, versiones 12.2.0-12.2.20;
  • Oracle Policy Automation Connector for Siebel, versión 10.4.6;
  • Oracle Policy Automation for Mobile Devices, versiones 12.2.0-12.2.20;
  • Oracle REST Data Services, versiones 11.2.0.4, 12.1.0.2, 12.2.0.1, 18c, 19c, [Standalone ORDS] y anteriores a 20.2.1;
  • Oracle Retail Advanced Inventory Planning, versión 14.1;
  • Oracle Retail Assortment Planning, versiones 15.0.3.0, 16.0.3.0;
  • Oracle Retail Back Office, versiones 14.0, 14.1;
  • Oracle Retail Bulk Data Integration, versiones 15.0.3.0, 16.0.3.0;
  • Oracle Retail Central Office, versiones 14.0, 14.1;
  • Oracle Retail Customer Management and Segmentation Foundation, versiones 18.0, 19.0;
  • Oracle Retail Integration Bus, versiones 14.1, 15.0, 16.0;
  • Oracle Retail Order Broker, versiones 15.0, 16.0, 18.0, 19.0, 19.1, 19.2, 19.3;
  • Oracle Retail Point-of-Service, versiones 14.0, 14.1;
  • Oracle Retail Predictive Application Server, versiones 14.1.3.0, 15.0.3.0, 16.0.3.0;
  • Oracle Retail Price Management, versiones 14.0.4, 14.1.3.0, 15.0.3.0, 16.0.3.0;
  • Oracle Retail Returns Management, versiones 14.0, 14.1;
  • Oracle Retail Service Backbone, versiones 14.1, 15.0, 16.0;
  • Oracle Retail Xstore Point of Service, versiones 15.0.3, 16.0.5, 17.0.3, 18.0.2, 19.0.1;
  • Oracle Solaris, versiones 10, 11;
  • Oracle TimesTen In-Memory Database, versiones anteriores a 11.2.2.8.49, 18.1.3.1.0, y anteriores a 18.1.4.1.0;
  • Oracle Transportation Management, versión 6.3.7;
  • Oracle Utilities Framework, versiones 2.2.0.0.0, 4.2.0.2.0, 4.2.0.3.0, 4.3.0.1.0-4.3.0.6.0, 4.4.0.0.0, 4.4.0.2.0;
  • Oracle VM VirtualBox, versiones anteriores a 6.1.16;
  • Oracle WebCenter Portal, versiones 11.1.1.9.0, 12.2.1.3.0, 12.2.1.4.0;
  • Oracle WebLogic Server, versiones 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0;
  • Oracle ZFS Storage Appliance Kit, versión 8.8;
  • PeopleSoft Enterprise HCM Global Payroll Core, versión 9.2;
  • PeopleSoft Enterprise PeopleTools, versiones 8.56, 8.57, 8.58;
  • PeopleSoft Enterprise SCM eSupplier Connection, versión 9.2;
  • Primavera Gateway, versiones 16.2.0-16.2.11, 17.12.0-17.12.8;
  • Primavera Unifier, versiones 16.1, 16.2, 17.7-17.12, 18.8, 19.12;
  • Siebel Applications, versiones 20.7, 20.8.

III. Referencia a soluciones, herramientas e información

Aplicar los parches correspondientes según los productos afectados, mediante el boletín de seguridad publicado por Oracle, en el siguiente enlace: https://www.oracle.com/security-alerts/cpuoct2020.html

Fuentes:

  • Oracle. Oracle Critical Patch Update Advisory – October 2020. Recopilado en: https://www.oracle.com/security-alerts/cpuoct2020.html
  • Instituto Nacional de Ciberseguridad (INCIBE). 21 de octubre del 2020. Vulnerabilidades. Recopilado en: https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/actualizaciones-criticas-oracle-octubre-2020

Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124