CSIRT Panamá Aviso 2022-01-19 Oracle: Actualizaciones críticas en Oracle (enero 2022)
Gravedad: Alta
Fecha de publicación: Enero 19, 2022
Última revisión: Enero 19, 2022
Sitio web: https:// www.oracle.com
Sistemas Afectados:
• Agile Product Lifecycle Management Integration Pack para Oracle E-Business Suite, versión 3.6;
• Application Performance Management, versiones 13.4.1.0 y 13.5.1.0;
• Big Data Spatial and Graph, versiones anteriores a 23.1;
• Enterprise Manager Base Platform, versiones 13.4.0.0 y 13.5.0.0;
• Enterprise Manager Ops Center, versión 12.4.0.0;
• Fujitsu M10-1, M10-4, M10-4S, M12-1, M12-2, M12-2S Servers, versiones anteriores a XCP2410, y XCP3110;
• Instantis EnterpriseTrack, versiones 17.1, 17.2 y 17.3;
• JD Edwards EnterpriseOne Tools, versiones anteriores a 9.2.6.1;
• MySQL Cluster, versiones 7.4.34 y anteriores, 7.5.24 y anteriores, 7.6.20 y anteriores, 8.0.27 y anteriores;
• MySQL Connectors, versiones 8.0.27 y anteriores;
• MySQL Server, versiones 5.7.36 y anteriores, 8.0.27 y anteriores;
• MySQL Workbench, versiones 8.0.27 y anteriores;
• Oracle Access Manager, versiones 11.1.2.3.0, 12.2.1.3.0 y 12.2.1.4.0;
• Oracle Agile Engineering Data Management, versión 6.2.1.0;
• Oracle Agile PLM, versiones 9.3.3 y 9.3.6;
• Oracle Agile PLM MCAD Connector, versiones 3.4 y 3.6;
• Oracle Airlines Data Model, versiones 12.1.1.0.0 y 12.2.0.1.0;
• Oracle Application Express, versiones anteriores a 21.1.4;
• Oracle Application Testing Suite, versión 13.3.0.1;
• Oracle Argus Analytics, versiones 8.2.1, 8.2.2 y 8.2.3;
• Oracle Argus Insight, versiones 8.2.1, 8.2.2 y 8.2.3;
• Oracle Argus Mart, versiones 8.2.1, 8.2.2 y 8.2.3;
• Oracle Argus Safety, versiones 8.2.1, 8.2.2 y 8.2.3;
• Oracle Banking APIs, versiones 18.1-18.3, 19.1, 19.2, 20.1 y 21.1;
• Oracle Banking Deposits and Lines of Credit Servicing, versión 2.12.0;
• Oracle Banking Digital Experience, versiones 17.2, 18.1-18.3, 19.1, 19.2, 20.1 y 21.1;
• Oracle Banking Enterprise Default Management, versiones 2.3.0-2.4.1, 2.6.2, 2.7.0, 2.7.1, 2.10.0 y 2.12.0;
• Oracle Banking Loans Servicing, versión 2.12.0;
• Oracle Banking Party Management, versión 2.7.0;
• Oracle Banking Platform, versiones 2.3.0-2.4.1, 2.6.2, 2.7.0 y 2.7.1;
• Oracle BI Publisher, versiones 5.5.0.0.0, 11.1.1.9.0, 12.2.1.3.0 y 12.2.1.4.0;
• Oracle Business Activity Monitoring, versiones 12.2.1.4.0 y 12.2.1.5.0;
• Oracle Business Intelligence Enterprise Edition, versiones 5.5.0.0.0, 5.9.0.0.0, 12.2.1.3.0 y 12.2.1.4.0;
• Oracle Business Process Management Suite, versiones 12.2.1.3.0 y 12.2.1.4.0;
• Oracle Clinical, versiones 5.2.1 y 5.2.2;
• Oracle Commerce Guided Search, versión 11.3.2;
• Oracle Commerce Platform, versiones 11.3.0, 11.3.1 y 11.3.2;
• Oracle Communications Billing and Revenue Management, versiones 12.0.0.3 y 12.0.0.4;
• Oracle Communications BRM – Elastic Charging Engine, versiones 11.3 y 12.0;
• Oracle Communications Calendar Server, versión 8.0.0.5.0;
• Oracle Communications Cloud Native Core Automated Test Suite, versión 1.8.0;
• Oracle Communications Cloud Native Core Binding Support Function, versiones 1.9.0 y 1.10.0;
• Oracle Communications Cloud Native Core Console, versión 1.7.0;
• Oracle Communications Cloud Native Core Network Function Cloud Native Environment, versión 1.9.0;
• Oracle Communications Cloud Native Core Network Repository Function, versión 1.14.0;
• Oracle Communications Cloud Native Core Policy, versión 1.14.0;
• Oracle Communications Cloud Native Core Security Edge Protection Proxy, versiones 1.5.0, 1.6.0 y 1.15.0;
• Oracle Communications Cloud Native Core Service Communication Proxy, versión 1.14.0;
• Oracle Communications Cloud Native Core Unified Data Repository, versión 1.14.0;
• Oracle Communications Contacts Server, versión 8.0.0.3.0;
• Oracle Communications Convergence, versión 3.0.2.2.0;
• Oracle Communications Convergent Charging Controller, versiones 6.0.1.0.0 y 12.0.1.0.0-12.0.4.0.0;
• Oracle Communications Data Model, versiones 11.3.2.1.0, 11.3.2.2.0, 11.3.2.3.0, 12.1.0.1.0 y 12.1.2.0.0;
• Oracle Communications Design Studio, versiones 7.3.4, 7.3.5, 7.4.0, 7.4.1 y 7.4.2;
• Oracle Communications Diameter Signaling Router, versiones 8.0.0.0-8.5.1.0;
• Oracle Communications EAGLE Application Processor, versiones 16.1-16.4;
• Oracle Communications Instant Messaging Server, versión 10.0.1.5.0;
• Oracle Communications Interactive Session Recorder, versiones 6.3 y 6.4;
• Oracle Communications Messaging Server, versión 8.1;
• Oracle Communications Network Charging and Control, versiones 6.0.1.0.0 y 12.0.1.0.0-12.0.4.0.0;
• Oracle Communications Network Integrity, versiones 7.3.5 y 7.3.6;
• Oracle Communications Offline Mediation Controller, versión 12.0.0.3;
• Oracle Communications Operations Monitor, versiones 3.4, 4.2, 4.3, 4.4 y 5.0;
• Oracle Communications Pricing Design Center, versiones 12.0.0.3.0 y 12.0.0.4.0;
• Oracle Communications Service Broker, versión 6.2;
• Oracle Communications Services Gatekeeper, versión 7.0;
• Oracle Communications Session Border Controller, versiones 8.2, 8.3, 8.4 y 9.0;
• Oracle Communications Unified Inventory Management, versiones 7.3.0, 7.3.4, 7.3.5, 7.4.0, 7.4.1, 7.4.2 y 7.5.0;
• Oracle Communications WebRTC Session Controller, versiones 7.2.0 y 7.2.1;
• Oracle Data Integrator, versiones 12.2.1.3.0 y 12.2.1.4.0;
• Oracle Database Server, versiones 12.1.0.2, 12.2.0.1 y 19c, 21c;
• Oracle Demantra Demand Management, versiones 12.2.6-12.2.11;
• Oracle E-Business Suite, versiones 12.2.3-12.2.11;
• Oracle Enterprise Communications Broker, versión 3.3;
• Oracle Enterprise Data Quality, versiones 12.2.1.3.0 y 12.2.1.4.0;
• Oracle Enterprise Session Border Controller, versiones 8.4 y 9.0;
• Oracle Essbase, versiones anteriores a 11.1.2.4.47, anteriores a 21.3;
• Oracle Essbase Administration Services, versiones anteriores a 11.1.2.4.47;
• Oracle Financial Services Analytical Applications Infrastructure, versiones 8.0.7-8.1.1;
• Oracle Financial Services Behavior Detection Platform, versiones 8.0.7, 8.0.8 y 8.1.1;
• Oracle Financial Services Enterprise Case Management, versiones 8.0.7, 8.0.8 y 8.1.1;
• Oracle Financial Services Foreign Account Tax Compliance Act Management, versiones 8.0.7, 8.0.8 y 8.1.1;
• Oracle Financial Services Model Management and Governance, versiones 8.0.8-8.1.1;
• Oracle Financial Services Trade-Based Anti Money Laundering Enterprise Edition, versiones 8.0.7 y 8.0.8;
• Oracle FLEXCUBE Investor Servicing, versiones 12.0.4, 12.1.0, 12.3.0, 12.4.0, 14.4.0 y 14.5.0;
• Oracle FLEXCUBE Private Banking, versiones 12.0.0 y 12.1.0;
• Oracle Fusion Middleware, versiones 12.2.1.3.0 y 12.2.1.4.0;
• Oracle Fusion Middleware MapViewer, versión 12.2.1.4.0;
• Oracle GoldenGate, versiones anteriores a 12.3.0.1, 19.1.0.0.220118, 21.4.0.0.0 y 21.5.0.0.220118;
• Oracle GraalVM Enterprise Edition, versiones 20.3.4 y 21.3.0;
• Oracle Graph Server and Client, versiones anteriores a 21.4;
• Oracle Health Sciences Clinical Development Analytics, versión 4.0.1;
• Oracle Health Sciences InForm CRF Submit, versión 6.2.1;
• Oracle Health Sciences Information Manager, versiones 3.0.2 y 3.0.3;
• Oracle Healthcare Data Repository, versiones 7.0.2, 8.1.0 y 8.1.1;
• Oracle Healthcare Foundation, versiones 7.3.0.0-7.3.0.2, 8.0.0-8.0.2 y, 8.1.0-8.1.1;
• Oracle Healthcare Translational Research, versión 4.1.0;
• Oracle Hospitality Cruise Shipboard Property Management System, versión 20.1.0;
• Oracle Hospitality OPERA 5, versión 5.6;
• Oracle Hospitality Reporting and Analytics, versión 9.1.0;
• Oracle Hospitality Suite8, versiones 8.10.2, 8.11.0, 8.12.0, 8.13.0 y 8.14.0;
• Oracle HTTP Server, versiones 12.2.1.3.0, 12.2.1.4.0 y 12.2.1.5.0;
• Oracle Hyperion Infrastructure Technology, versión 11.2.7.0;
• Oracle iLearning, versiones 6.2 y 6.3;
• Oracle Insurance Data Gateway, versiones 11.0.2, 11.1.0, 11.2.7, 11.3.0 y 11.3.1;
• Oracle Insurance Insbridge Rating and Underwriting, versiones 5.2.0 y 5.4.0-5.6.0;
• Oracle Insurance Policy Administration, versiones 11.0.2, 11.1.0, 11.2.7, 11.3.0 y 11.3.1;
• Oracle Insurance Policy Administration J2EE, versiones 10.2.0, 10.2.4, 11.0.2 y 11.1.0-11.3.0;
• Oracle Insurance Rules Palette, versiones 10.2.0, 10.2.4, 11.0.2, 11.1.0-11.3.0 y 11.3.1;
• Oracle Java SE, versiones 7u321, 8u311, 11.0.13 y 17.1;
• Oracle Managed File Transfer, versiones 12.2.1.3.0 y 12.2.1.4.0;
• Oracle NoSQL Database, versiones anteriores a 21.1.12;
• Oracle Policy Automation, versiones 12.2.0-12.2.24;
• Oracle Product Lifecycle Analytics, versión 3.6.1;
• Oracle Rapid Planning, versiones 12.2.6-12.2.11;
• Oracle Real User Experience Insight, versiones 13.4.1.0 y 13.5.1.0;
• Oracle REST Data Services, versiones anteriores a 21.2.4;
• Oracle Retail Allocation, versiones 14.1.3.2, 15.0.3.1, 16.0.3 y 19.0.1;
• Oracle Retail Analytics, versión 21.0.1;
• Oracle Retail Assortment Planning, versión 16.0.3;
• Oracle Retail Back Office, versión 14.1;
• Oracle Retail Central Office, versión 14.1;
• Oracle Retail Customer Insights, versión 21.0.1;
• Oracle Retail Customer Management and Segmentation Foundation, versiones 16.0-19.0;
• Oracle Retail EFTLink, versiones 16.0.3, 17.0.2, 18.0.1, 19.0.1 y 20.0.1;
• Oracle Retail Extract Transform and Load, versión 13.2.8;
• Oracle Retail Financial Integration, versiones 14.1.3.2, 15.0.3.1, 16.0.3 y 19.0.1;
• Oracle Retail Fiscal Management, versión 14.2;
• Oracle Retail Integration Bus, versiones 14.1.3.0, 14.1.3.2, 15.0.3.1, 16.0.1-16.0.3, 19.0.0 y 19.0.1;
• Oracle Retail Invoice Matching, versiones 15.0.3 y 16.0.3;
• Oracle Retail Merchandising System, versión 19.0.1;
• Oracle Retail Order Broker, versiones 16.0, 18.0 y 19.1;
• Oracle Retail Order Management System, versión 19.5;
• Oracle Retail Point-of-Service, versión 14.1;
• Oracle Retail Predictive Application Server, versiones 14.1.3, 14.1.3.46, 15.0.3, 15.0.3.115, 16.0.3 y 16.0.3.240;
• Oracle Retail Price Management, versiones 13.2, 14.0.4, 14.1, 14.1.3, 15, 15.0.3, 16 y 16.0.3;
• Oracle Retail Returns Management, versión 14.1;
• Oracle Retail Service Backbone, versiones 14.1.3.0, 14.1.3.2, 15.0.3.1, 16.0.1-16.0.3, 19.0.0 y 19.0.1;
• Oracle Retail Size Profile Optimization, versión 16.0.3;
• Oracle Retail Xstore Point of Service, versiones 17.0.4, 18.0.3, 19.0.2 y 20.0.1;
• Oracle SD-WAN Aware, versión 8.2;
• Oracle SD-WAN Edge, versiones 9.0 y 9.1;
• Oracle Secure Backup, versiones anteriores a 18.1.0.1.0;
• Oracle Solaris, versiones 10 y 11;
• Oracle Spatial Studio, versiones anteriores a 21.2.1;
• Oracle Thesaurus Management System, versiones 5.2.3, 5.3.0 y 5.3.1;
• Oracle TimesTen In-Memory Database, versiones anteriores a 11.2.2.8.27 y 21.1.1.1.0;
• Oracle Utilities Framework, versiones 4.2.0.2.0, 4.2.0.3.0, 4.3.0.1.0-4.3.0.6.0, 4.4.0.0.0, 4.4.0.2.0 y 4.4.0.3.0;
• Oracle Utilities Testing Accelerator, versiones 6.0.0.1.1, 6.0.0.2.2 y 6.0.0.3.1;
• Oracle VM VirtualBox, versiones anteriores a 6.1.32;
• Oracle WebCenter Portal, versiones 12.2.1.3.0 y 12.2.1.4.0;
• Oracle WebLogic Server, versiones 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.0;
• Oracle ZFS Storage Appliance Kit, versión 8.8;
• Oracle ZFS Storage Application Integration Engineering Software, versión 1.3.3;
• OSS Support Tools, versiones anteriores a 2.12.42;
• PeopleSoft Enterprise CS SA Integration Pack, versiones 9.0 y 9.2;
• PeopleSoft Enterprise PeopleTools, versiones 8.57, 8.58 y 8.59;
• Primavera Analytics, versiones 18.8.3.3, 19.12.11.1 y 20.12.12.0;
• Primavera Data Warehouse, versiones 18.8.3.3, 19.12.11.1 y 20.12.12.0;
• Primavera Gateway, versiones 17.12.0-17.12.11, 18.8.0-18.8.13, 19.12.0-19.12.12, 20.12.0-20.12.7 y 21.12.0;
• Primavera P6 Enterprise Project Portfolio Management, versiones 17.12.0.0-17.12.20.0, 18.8.0.0-18.8.24.0, 19.12.0.0-19.12.18.0, 20.12.0.0-20.12.12.0 y 21.12.0.0;
• Primavera P6 Professional Project Management, versiones 17.12.0.0-17.12.20.0, 18.8.0.0-18.8.24.0, 19.12.0.0-19.12.17.0 y 20.12.0.0-20.12.9.0;
• Primavera Portfolio Management, versiones 18.0.0.0-18.0.3.0, 19.0.0.0-19.0.1.2, 20.0.0.0 y 20.0.0.1;
• Primavera Unifier, versiones 17.7-17.12, 18.8, 19.12, 20.12 y 21.12;
• Siebel Applications, versiones 21.11 y anteriores.
III. Descripción
Oracle ha publicado una actualización crítica con parches para corregir 497 vulnerabilidades, que afectan a múltiples productos.
IV. Impacto
Vulnerabilidad: CVE-2021-29425
La vulnerabilidad permite que un atacante remoto realice ataques transversales de directorio.
Vulnerabilidad: CVE-2021-33037
La vulnerabilidad permite que un atacante remoto realice ataques de contrabando de solicitudes HTTP.
Vulnerabilidad: CVE-2021-36374
La vulnerabilidad permite que un atacante remoto realice un ataque de denegación de servicio (DoS).
Vulnerabilidad: CVE-2021-4104
La vulnerabilidad permite que un atacante remoto ejecute código arbitrario en el sistema de destino.
Vulnerabilidad: CVE-2021-36090
La vulnerabilidad permite que un atacante remoto realice un ataque de denegación de servicio (DoS).
Vulnerabilidad: CVE-2021-22118
La vulnerabilidad permite que un usuario local aumente los privilegios en el sistema.
Vulnerabilidad: CVE-2021-2351
La vulnerabilidad permite que un atacante remoto no autenticado ejecute código arbitrario.
Vulnerabilidad: CVE-2021-39139
La vulnerabilidad permite que un usuario remoto autenticado ejecute código arbitrario.
Vulnerabilidad: CVE-2020-13936
La vulnerabilidad permite que un atacante remoto ejecute código arbitrario en el sistema de destino.
III. Referencia a soluciones, herramientas e información
Aplicar los parches correspondientes según los productos afectados, desde el sitio oficial de Oracle. (https://www.oracle.com/security-alerts/cpujan2022.html
Fuentes:
- Instituto Nacional de Ciberseguridad, INCIBE. Avisos Seguridad, Actualizaciones críticas en Oracle (enero 2022). 19 de enero del 2022. Recopilado en: https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/actualizaciones-criticas-oracle-enero-2022
- CSIRT Chile. 9VSA22-00552-01 CSIRT informa de vulnerabilidades en Oracle Utilities Testing Accelerator. 19 de enero del 2022. Recopilado en: https://www.csirt.gob.cl/vulnerabilidades/9vsa22-00552-01/
Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124