CSIRT Panamá Aviso 2021-10-25 Oracle: Actualizaciones críticas en Oracle (octubre 2021)

CSIRT Panamá Aviso 2021-10-25 Oracle: Actualizaciones críticas en Oracle (octubre 2021)

Gravedad: Alta
Fecha de publicación: Octubre 25, 2021
Última revisión: Octubre 25, 2021
Sitio web: https://www.oracle.com/
Sistemas Afectados:

• Enterprise Manager Base Platform, versiones 13.4.0.0 y 13.5.0.0;
• Enterprise Manager for Oracle Database, versión 13.4.0.0;
• Enterprise Manager Ops Center, versión 12.4.0.0;
• Essbase Administration Services, versiones anteriores a 11.1.2.4.46;
• Hyperion Financial Management, versiones 11.1.2.4 y 11.2.6.0;
• Hyperion Financial Reporting, versiones 11.1.2.4 y 11.2.6.0;
• Hyperion Infrastructure Technology, versión 11.2.6.0;
• Hyperion Planning, versiones 11.1.2.4 y 11.2.6.0;
• Instantis EnterpriseTrack, versiones 17.1, 17.2 y 17.3;
• JD Edwards EnterpriseOne Orchestrator, versiones anteriores a 9.2.6.0;
• JD Edwards EnterpriseOne Tools, versiones anteriores a 9.2.6.0;
• JD Edwards World Security, versión A9.4;
• MySQL Client, versiones 8.0.26 y anteriores;
• MySQL Cluster, versiones 7.4.33 y anteriores, 7.5.23 y anteriores, 7.6.19 y anteriores, 8.0.26 y anteriores;
• MySQL Connectors, versiones 8.0.26 y anteriores;
• MySQL Enterprise Monitor, versiones 8.0.25 y anteriores;
• MySQL Server, versiones 5.7.35 y anteriores, 8.0.26 y anteriores;
• MySQL Workbench, versiones 8.0.26 y anteriores;
• Oracle Agile PLM, versiones 9.3.3 y 9.3.6;
• Oracle Application Express, versiones anteriores a 21.1.0;
• Oracle Application Testing Suite, versión 13.3.0.1;
• Oracle Autovue for Agile Product Lifecycle Management, versión 21.0.2;
• Oracle Banking Cash Management, versiones 14.2, 14.3 y 14.5;
• Oracle Banking Corporate Lending Process Management, versiones 14.2, 14.3 y 14.5;
• Oracle Banking Credit Facilities Process Management, versiones 14.2, 14.3 y 14.5;
• Oracle Banking Enterprise Default Management, versiones 2.10.0 y 2.12.0;
• Oracle Banking Extensibility Workbench, versiones 14.2, 14.3 y 14.5;
• Oracle Banking Platform, versiones 2.6.2, 2.7.1, 2.9.0 y 2.12.0;
• Oracle Banking Supply Chain Finance, versiones 14.2, 14.3 y 14.5;
• Oracle Banking Trade Finance Process Management, versiones 14.2, 14.3 y 14.5;
• Oracle Banking Virtual Account Management, versiones 14.2, 14.3 y 14.5;
• Oracle Business Activity Monitoring, versiones 11.1.1.9.0, 12.2.1.3.0 y 12.2.1.4.0;
• Oracle Business Intelligence Enterprise Edition, versiones 5.5.0.0.0, 12.2.1.3.0 y 12.2.1.4.0;
• Oracle Commerce Guided Search, versión 11.3.2;
• Oracle Commerce Merchandising, versión 11.3.2;
• Oracle Communications Application Session Controller, versión 3.9;
• Oracle Communications Billing y Revenue Management, versiones 7.5.0.0.0 y 12.0.0.3.0;
• Oracle Communications BRM – Elastic Charging Engine, versión 12.0.0.3;
• Oracle Communications Calendar Server, versión 8.0.0.6.0;
• Oracle Communications Cloud Native Core Network Repository Function, versión 1.14.0;
• Oracle Communications Cloud Native Core Policy, versión 1.11.0;
• Oracle Communications Control Plane Monitor, versiones 3.4, 4.2, 4.3 y 4.4;
• Oracle Communications Converged Application Server – Service Controller, versión 6.2;
• Oracle Communications Design Studio, versión 7.4.2;
• Oracle Communications Diameter Signaling Router, versiones 8.0.0.0-8.5.0.0;
• Oracle Communications EAGLE;
• Oracle Communications EAGLE FTP Table Base Retrieval, versión 4.5;
• Oracle Communications EAGLE LNP Application Processor, versiones 46.7, 46.8 y 46.9;
• Oracle Communications Element Manager, versiones 8.2.0.0-8.2.4.0;
• Oracle Communications Fraud Monitor, versiones 3.4-4.4;
• Oracle Communications Interactive Session Recorder, versión 6.4;
• Oracle Communications LSMS, versiones 13.1-13.4;
• Oracle Communications Messaging Server, versión 8.1;
• Oracle Communications MetaSolv Solution, versión 6.3.1;
• Oracle Communications Offline Mediation Controller, versión 12.0.0.3.0;
• Oracle Communications Operations Monitor, versiones 3.4, 4.2, 4.3 y 4.4;
• Oracle Communications Policy Management, versión 12.5.0;
• Oracle Communications Pricing Design Center, versión 12.0.0.3.0;
• Oracle Communications Services Gatekeeper, versión 7.0;
• Oracle Communications Session Border Controller, versiones 8.4 y 9.0;
• Oracle Communications Session Report Manager, versiones 8.0.0.0-8.2.5.0;
• Oracle Communications Session Route Manager, versiones 8.0.0.0-8.2.5.0;
• Oracle Data Integrator, versión 12.2.1.4.0;
• Oracle Database Server, versiones 12.1.0.2, 12.2.0.1, 19c y 21c;
• Oracle Documaker, versiones 12.6.0-12.6.4;
• Oracle E-Business Suite, versiones 12.1.1-12.1.3 y 12.2.3-12.2.10;
• Oracle Enterprise Communications Broker, versiones 3.2 y 3.3;
• Oracle Enterprise Repository, versión 11.1.1.7.0;
• Oracle Enterprise Telephony Fraud Monitor, versiones 3.4, 4.2, 4.3 y 4.4;
• Oracle Ethernet Switch ES2-64, Oracle Ethernet Switch ES2-72, versión 2.0.0.14;
• Oracle Financial Services Analytical Applications Infrastructure, versiones 8.0.6-8.1.1;
• Oracle Financial Services Enterprise Case Management, versiones 8.0.7.2.0 y 8.0.8.1.0;
• Oracle Financial Services Model Management y Governance, versiones 8.0.8.0.0-8.1.0.0.0;
• Oracle FLEXCUBE Core Banking, versiones 11.7, 11.8, 11.9 y 11.10;
• Oracle Global Lifecycle Management OPatch;
• Oracle GoldenGate, versiones anteriores a 19.1.0.0.0.210420;
• Oracle GoldenGate Application Adapters, versión 19.1.0.0.0;
• Oracle GraalVM Enterprise Edition, versiones 20.3.3 y 21.2.0;
• Oracle Graph Server y Client, versiones anteriores a 21.3.0;
• Oracle Health Sciences Central Coding, versiones 6.2.0 y 6.3.0;
• Oracle Health Sciences InForm, versión 6.3.0;
• Oracle Healthcare Data Repository, versiones 7.0.2 y 8.1.0;
• Oracle Healthcare Foundation, versiones 7.3, 8.0 y 8.1;
• Oracle Hospitality Cruise Shipboard Property Management System, versión 20.1.0;
• Oracle HTTP Server, versiones 11.1.1.9.0 y 12.2.1.4.0;
• Oracle Insurance Calculation Engine, versiones 11.0.0-11.3.1;
• Oracle Insurance Policy Administration, versiones 11.0.0-11.3.1;
• Oracle Java SE, versiones 7u311, 8u301, 11.0.12 y 17;
• Oracle NoSQL Database;
• Oracle Outside In Technology, versión 8.5.5;
• Oracle Real User Experience Insight, versiones 13.4.1.0 y 13.5.1.0;
• Oracle Real-Time Decision Server, versiones 3.2.0.0 y 11.1.1.9.0;
• Oracle REST Data Services, versiones anteriores a 21.3;
• Oracle Retail Advanced Inventory Planning, versiones 14.1, 15.0 y 16.0;
• Oracle Retail Assortment Planning, versión 16.0;
• Oracle Retail Back Office, versiones 14.0 y 14.1;
• Oracle Retail Bulk Data Integration, versiones 16.0.3 y 19.0.1;
• Oracle Retail Central Office, versiones 14.0 y 14.1;
• Oracle Retail Customer Management y Segmentation Foundation, versiones 16.0-19.0;
• Oracle Retail Extract Transform y Load, versión 13.2.8;
• Oracle Retail Financial Integration, versiones 14.1.3.2, 15.0.4.0 y 16.0.3.0;
• Oracle Retail Integration Bus, versiones 14.1.3.2, 15.0.4.0, 16.0.3.0 y 19.0.1.0;
• Oracle Retail Merchandising System, versiones 15.0.3 y 19.0.1;
• Oracle Retail Point-of-Service, versiones 14.0 y 14.1;
• Oracle Retail Predictive Application Server, versiones 14.1.3, 15.0.3 y 16.0.3;
• Oracle Retail Returns Management, versiones 14.0 y 14.1;
• Oracle Retail Service Backbone, versiones 14.1.3.2, 15.0.4.0, 16.0.3.0 y 19.0.1.0;
• Oracle Retail Store Inventory Management, versiones 14.1, 15.0 y 16.0;
• Oracle Secure Backup, versiones anteriores a 18.1.0.1.0;
• Oracle Secure Global Desktop, versión 5.6;
• Oracle Solaris, versión 11;
• Oracle Spatial Studio;
• Oracle SQL Developer;
• Oracle Transportation Management, versión 6.4.3;
• Oracle Utilities Framework, versiones 4.2.0.2.0, 4.2.0.3.0, 4.3.0.1.0-4.3.0.6.0, 4.4.0.0.0, 4.4.0.2.0 y 4.4.0.3.0;
• Oracle VM VirtualBox, versiones anteriores a 6.1.28;
• Oracle WebCenter Portal, versiones 12.2.1.3.0 y 12.2.1.4.0;
• Oracle WebCenter Sites, versiones 12.2.1.3.0 y 12.2.1.4.0;
• Oracle WebLogic Server, versiones 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.0;
• Oracle WebLogic Server Proxy Plug-In, versiones 12.2.1.3.0 y 12.2.1.4.0;
• Oracle ZFS Storage Appliance Kit, versión 8.8;
• PeopleSoft Enterprise CC Common Application Objects, versión 9.2;
• PeopleSoft Enterprise CS Academic Advisement, versión 9.2;
• PeopleSoft Enterprise CS Campus Community, versiones 9.0 y 9.2;
• PeopleSoft Enterprise CS SA Integration Pack, versiones 9.0 y 9.2;
• PeopleSoft Enterprise CS Student Records, versión 9.2;
• PeopleSoft Enterprise PeopleTools, versiones 8.57, 8.58 y 8.59;
• PeopleSoft Enterprise SCM, versión 9.2;
• Primavera Gateway, versiones 17.12.0-17.12.11, 18.8.0-18.8.12, 19.12.0-19.12.11 y 20.12.0-20.12.7;
• Primavera Unifier, versiones 17.7-17.12, 18.8, 19.12 y 20.12;
• Siebel Applications, versiones 21.9 y anteriores;
• Tekelec Platform Distribution, versiones 7.4.0-7.7.1;
• Tekelec Virtual Operating Environment, versiones 3.4.0-3.7.1.

I. Descripción

Oracle ha publicado una actualización crítica con parches para corregir 419 vulnerabilidades que afectan a múltiples productos.

II. Impacto

El detalle de las vulnerabilidades resueltas se puede consultar en el enlace de Oracle de la sección de ‘Referencias’.

III. Referencia a soluciones, herramientas e información

Aplicar los parches correspondientes según los productos afectados, desde el sitio oficial de Oracle. (https://www.oracle.com/security-alerts/cpuoct2021.html)

Fuentes:

  1. Instituto Nacional de Ciberseguridad, INCIBE. Avisos Seguridad, Actualizaciones críticas en Oracle (octubre 2021). 20 de octubre del 2021. Recopilado en: https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/actualizaciones-criticas-oracle-octubre-2021

Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124