CSIRT Panamá Aviso 2021-04-22 Oracle: Actualizaciones críticas en Oracle (abril 2021)
Gravedad: Alta
Fecha de publicación: Abril 22, 2021
Última revisión: Abril 22, 2021
Sitio web https://www.oracle.com/
Sistemas Afectados:
• Agile Product Lifecycle Management Integration Pack for Oracle E-Business Suite, versiones 3.5 y 3.6;
• Agile Product Lifecycle Management Integration Pack for SAP: Design to Release, versiones 3.5 y 3.6;
• Enterprise Manager Base Platform, versión 13.4.0.0;
• Enterprise Manager for Fusion Middleware, versiones 12.2.1.4 y 13.4.0.0;
• Enterprise Manager for Virtualization, versión 13.4.0.0;
• Enterprise Manager Ops Center, versión 12.4.0.0;
• FMW Platform, versiones 12.2.1.3.0 y 12.2.1.4.0;
• Hyperion Analytic Provider Services, versiones 11.1.2.4 y 12.2.1.4;
• Hyperion Financial Management, versión 11.1.2.4;
• Instantis EnterpriseTrack, versiones 17.1, 17.2 y 17.3;
• JD Edwards EnterpriseOne Orchestrator, todas las versiones anteriores a la 9.2.5.3;
• JD Edwards EnterpriseOne Tools, todas las versiones anteriores a la 9.2.4.0 y 9.2.5.3;
• JD Edwards World Security, versión A9.4;
• MySQL Cluster, versión 8.0.23 y anteriores;
• MySQL Enterprise Monitor, versión 8.0.23 y anteriores;
• MySQL Server, versión 5.7.33 y anteriores, y versión 8.0.23 y anteriores;
• MySQL Workbench, versión 8.0.23 y anteriores;
• Oracle Advanced Supply Chain Planning, versiones 12.1 y 12.2;
• Oracle Agile PLM, versiones 9.3.3, 9.3.5 y 9.3.6;
• Oracle API Gateway, versión 11.1.2.4.0;
• Oracle Application Express, todas las versiones anteriores a la 20.2;
• Oracle Application Testing Suite, versión 13.3.01;
• Oracle BAM, versiones 11.1.9.0, 12.2.1.3.0 y 12.2.1.4.0;
• Oracle Banking Platform, versiones 2.4.0, 2.6.2, 2.7.0, 2.7.1, 2.8.0, 2.9.0 y 2.10.0;
• Oracle Business Intelligence Enterprise Edition, versiones 5.5.0.0.0, 11.1.1.9.0, 12.2.1.3.0 y 12.2.1.4.0;
• Oracle Cloud Infrastructure Storage Gateway, todas las versiones anteriores a la 1.4;
• Oracle Coherence, versiones 3.7.1.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.0;
• Oracle Commerce Guided Search, versiones 11.3.0, 11.3.1 y 11.3.2;
• Oracle Commerce Merchandising, versiones 0, 11.0.0, 11.1, 11.2.0, 11.3.0, 11.3.1 y 11.3.2;
• Oracle Communications Application Session Controller, versión 3.9m0p3;
• Oracle Communications Calendar Server, versión 8.0;
• Oracle Communications Contacts Server, versión 8.0;
• Oracle Communications Converged Application Server – Service Controller, versión 6.2;
• Oracle Communications Design Studio, versión 7.4.2;
• Oracle Communications Interactive Session Recorder, versiones 6.3 y 6.4;
• Oracle Communications Messaging Server, versiones 8.0.2, 8.1 y 8.1.0;
• Oracle Communications MetaSolv Solution, versiones 6.3.0 y 6.3.1;
• Oracle Communications Performance Intelligence Center Software, versiones 10.4.0.2 y 10.4.0.3;
• Oracle Communications Services Gatekeeper, versiones 6.0, 6.1 y 7.0;
• Oracle Communications Session Border Controller, versiones Cz8.2, Cz8.3 y Cz8.4;
• Oracle Communications Session Router, versiones Cz8.2, Cz8.3 y Cz8.4;
• Oracle Communications Subscriber-Aware Load Balancer, versiones Cz8.2, Cz8.3 y Cz8.4;
• Oracle Communications Unified Inventory Management, versiones 7.3.4, 7.3.5, 7.4.0 y 7.4.1;
• Oracle Communications Unified Session Manager, versión SCz8.2.5;
• Oracle Database Server, versiones 12.1.0.2, 12.2.0.1, 18c y 19c;
• Oracle E-Business Suite, versiones de la 12.1.1 a la 12.1.3 y de la 12.2.3 a la 12.2.10;
• Oracle Endeca Information Discovery Studio, versión 3.2.0.0;
• Oracle Enterprise Communications Broker, versiones PCZ3.1, PCZ3.2 y PCZ3.3;
• Oracle Enterprise Repository, versión 11.1.1.7.0;
• Oracle Enterprise Session Border Controller, versiones Cz8.2, Cz8.3 y Cz8.4;
• Oracle Financial Services Analytical Applications Infrastructure, versiones de la 8.0.6 a la 8.1.0;
• Oracle FLEXCUBE Direct Banking, versiones 12.0.2 y 12.0.3;
• Oracle FLEXCUBE Private Banking, versiones 12.0.0 y 12.1.0;
• Oracle Fusion Middleware, versiones 11.1.1.9.0, 12.2.1.3.0 y 12.2.1.4.0;
• Oracle Fusion Middleware MapViewer, versión 12.2.1.4.0;
• Oracle Global Lifecycle Management OPatch, todas las versiones anteriores a la 12.2.0.1.22;
• Oracle GraalVM Enterprise Edition, versiones 19.3.5, 20.3.1.2 y 21.0.0.2;
• Oracle Graph Server and Client;
• Oracle Health Sciences Empirica Signal, versiones 9.0 y 9.1;
• Oracle Health Sciences Information Manager, versiones de la 3.0.0 a la 3.0.2;
• Oracle Healthcare Foundation, versiones 7.1.5, 7.2.2, 7.3.0, 7.3.1 y 8.0.1;
• Oracle Hospitality Cruise Shipboard Property Management System, versión 20.1.0;
• Oracle Hospitality Inventory Management, versión 9.1.0;
• Oracle Hospitality OPERA 5, versiones 5.5 y 5.6;
• Oracle Hospitality RES 3700, versiones de la 5.7.0 a la 5.7.6;
• Oracle HTTP Server, versiones 11.1.1.9.0, 12.2.1.3.0 y 12.2.1.4.0;
• Oracle Identity Manager Connector, versión 11.1.1.5.0;
• Oracle iLearning, versiones 6.2 y 6.3;
• Oracle Insurance Data Gateway, versión 1.0.2.3;
• Oracle Java SE, versiones 7u291, 8u281, 11.0.10 y 16;
• Oracle Java SE Embedded, versión 8u281;
• Oracle NoSQL Database, todas las versiones anteriores a la 20.3;
• Oracle Outside In Technology, versión 8.5.5;
• Oracle Platform Security for Java, versiones 11.1.1.9.0, 12.2.1.3.0 y 12.2.1.4.0;
• Oracle Rapid Planning, versión 12.1.3;
• Oracle REST Data Services, todas las versiones anteriores a la 20.4.3.50.1904;
• Oracle Retail Advanced Inventory Planning, versión 14.1;
• Oracle Retail Assortment Planning, versión 16.0.3;
• Oracle Retail Back Office, versión 14.1;
• Oracle Retail Category Management Planning & Optimization, versión 16.0.3;
• Oracle Retail Central Office, versión 14.1;
• Oracle Retail EFTLink, versiones 15.0.2, 16.0.3, 17.0.2, 18.0.1, 19.0.1 y 20.0.0;
• Oracle Retail Insights Cloud Service Suite, versión 19.0;
• Oracle Retail Item Planning, versión 16.0.3;
• Oracle Retail Macro Space Optimization, versión 16.0.3;
• Oracle Retail Merchandise Financial Planning, versión 16.0.3;
• Oracle Retail Merchandising System, versión 16.0.3;
• Oracle Retail Point-of-Service, versión 14.1;
• Oracle Retail Predictive Application Server, versiones 14.1, 15.0 y 16.0;
• Oracle Retail Regular Price Optimization, versión 16.0.3;
• Oracle Retail Replenishment Optimization, versión 16.0.3;
• Oracle Retail Returns Management, versión 14.1;
• Oracle Retail Sales Audit, versión 14.0;
• Oracle Retail Size Profile Optimization, versión 16.0.3;
• Oracle Retail Store Inventory Management, versiones 14.1.3.10, 15.0.3.5 y 16.0.3.5;
• Oracle Retail Xstore Point of Service, versiones 15.0.4, 16.0.6, 17.0.4, 18.0.3 y 19.0.2;
• Oracle SD-WAN Aware, versión 8.2;
• Oracle SD-WAN Edge, versiones 8.2 y 9.0;
• Oracle Secure Backup;
• Oracle Secure Global Desktop, versión 5.6;
• Oracle Security Service, versiones 11.1.1.9.0, 12.2.1.3.0 y 12.2.1.4.0;
• Oracle Service Bus, versiones 11.1.1.9.0, 12.2.1.3.0 y 12.2.1.4.0;
• Oracle Solaris, versiones 10 y 11;
• Oracle Spatial Studio, todas las versiones anteriores a la 19.1.0 y 20.1.1;
• Oracle SQL Developer, todas las versiones anteriores a la 20.4.1.407.6 ;
• Oracle Storage Cloud Software Appliance, todas las versiones anteriores a la 16.3.1.4.2;
• Oracle TimesTen In-Memory Database;
• Oracle Utilities Framework, versiones 4.2.0.2.0, 4.2.0.3.0, de la 4.3.0.1.0 a la 4.3.0.6.0, 4.4.0.0.0, 4.4.0.2.0 y 4.4.0.3.0;
• Oracle VM VirtualBox, todas las versiones anteriores a la 6.1.20;
• Oracle WebCenter Portal, versiones 12.2.1.3.0 y 12.2.1.4.0;
• Oracle WebLogic Server, versiones 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.0;
• Oracle WebLogic Server Proxy Plug-In, versiones 11.1.1.9.0, 12.2.1.3.0 y 12.2.1.4.0;
• Oracle ZFS Storage Appliance Kit, versión 8.8;
• OSS Support Tools, todas las versiones anteriores a la 2.12.41;
• PeopleSoft Enterprise CS Campus Community, versión 9.2 ;
• PeopleSoft Enterprise FIN Common Application Objects, versión 9.2;
• PeopleSoft Enterprise FIN Expenses, versión 9.2;
• PeopleSoft Enterprise PeopleTools, versiones 8.56, 8.57 y 8.58;
• PeopleSoft Enterprise PT PeopleTools, versiones 8.56, 8.57 y 8.58;
• PeopleSoft Enterprise SCM eProcurement, versión 9.2;
• PeopleSoft Enterprise SCM Purchasing, versión 9.2;
• Primavera Gateway, versiones de la 17.12.0 a la 17.12.10;
• Primavera Unifier, versiones 16.1, 16.2, de la 17.7 a la 17.12, 18.8, 19.12 y 20.12;
• Siebel Applications, versión 21.2 y anteriores.
I. Descripción
Se ha publicado actualizaciones críticas en Oracle, con parches para corregir vulnerabilidades que afectan a múltiples productos.
II. Impacto
Esta actualización resuelve un total de 390 vulnerabilidades, algunas de las cuales son críticas.
III. Referencia a soluciones, herramientas e información
Aplicar los parches correspondientes según los productos afectados, mediante el siguiente enlace: https://www.oracle.com/security-alerts/cpuapr2021.html
Fuentes:
- Instituto Nacional de Ciberseguridad, INCIBE. Avisos Seguridad, Actualizaciones críticas en Oracle (abril 2021). Recopilado en: https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/actualizaciones-criticas-oracle-abril-2021
Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124