CSIRT Panamá Aviso 2022-04-22 Oracle: Actualizaciones críticas en Oracle (abril 2022)
Gravedad: Alta
Fecha de publicación: Abril 22, 2022
Última revisión: Abril 22, 2022
Sitio web: https://www.oracle.com/
Sistemas Afectados:
• Engineered Systems Utilities, versiones 12.1.0.2, 19c y 21c;
• Enterprise Manager Base Platform, versiones 13.4.0.0 y 13.5.0.0;
• Enterprise Manager para Peoplesoft, versiones 13.4.1.1 y 13.5.1.1;
• Enterprise Manager para Storage Management, versión 13.4.0.0;
• Enterprise Manager Ops Center, versión 12.4.0.0;
• Helidon, versiones 1.4.7, 1.4.10 y 2.0.0-RC1;
• Instantis EnterpriseTrack, versiones 17.1, 17.2 y 17.3;
• JD Edwards EnterpriseOne Tools, versiones anteriores a 9.2.6.3;
• JD Edwards World Security, versión A9.4;
• Management Cloud Engine, versiones 1.5.0 y anteriores;
• Middleware Common Libraries y Tools, versiones 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.0;
• MySQL Cluster, versiones 7.4.35 y anteriores, 7.5.25 y anteriores, 7.6.21 y anteriores y 8.0.28 y anteriores;
• MySQL Connectors, versiones 8.0.28 y anteriores;
• MySQL Enterprise Monitor, versiones 8.0.29 y anteriores;
• MySQL Server, versiones 5.7.37 y anteriores y 8.0.28 y anteriores;
• MySQL Workbench, versiones 8.0.28 y anteriores;
• Oracle Advanced Supply Chain Planning, versiones 12.1, 12.2;
• Oracle Agile Engineering Data Management, versión 6.2.1.0;
• Oracle Agile PLM, versión 9.3.6;
• Oracle Agile PLM MCAD Connector, versión 3.6;
• Oracle Application Express, versiones anteriores a 22.1;
• Oracle Application Testing Suite, versión 13.3.0.1;
• Oracle Autovue para Agile Product Lifecycle Management, versión 21.0.2;
• Oracle Banking Deposits y Lines of Credit Servicing, versión 2.12.0;
• Oracle Banking Enterprise Default Management, versiones 2.7.1, 2.10.0 y 2.12.0;
• Oracle Banking Loans Servicing, versión 2.12.0;
• Oracle Banking Party Management, versión 2.7.0;
• Oracle Banking Payments, versión 14.5;
• Oracle Banking Platform, versiones 2.6.2, 2.7.1 y 2.12.0;
• Oracle Banking Trade Finance, versión 14.5;
• Oracle Banking Treasury Management, versión 14.5;
• Oracle Blockchain Platform, versiones anteriores a 21.1.2;
• Oracle Business Intelligence Enterprise Edition, versiones 5.5.0.0.0, 5.9.0.0.0, 12.2.1.3.0 y 12.2.1.4.0;
• Oracle Business Process Management Suite, versiones 12.2.1.3.0 y 12.2.1.4.0;
• Oracle Coherence, versiones 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.0;
• Oracle Commerce Guided Search, versión 11.3.2;
• Oracle Communications ASAP, versión 7.3;
• Oracle Communications Billing y Revenue Management, versiones 12.0.0.4 y 12.0.0.5;
• Oracle Communications Cloud Native Core Automated Test Suite, versiones 1.8.0, 1.9.0 y 22.1.0;
• Oracle Communications Cloud Native Core Binding Support Function, versión 1.11.0;
• Oracle Communications Cloud Native Core Console, versiones 1.9.0 y 22.1.0;
• Oracle Communications Cloud Native Core Network Exposure Function, versión 22.1.0;
• Oracle Communications Cloud Native Core Network Function Cloud Native Environment, versiones 1.10.0 y 22.1.0;
• Oracle Communications Cloud Native Core Network Repository Function, versiones 1.15.0, 1.15.1 y 22.1.0;
• Oracle Communications Cloud Native Core Network Slice Selection Function, versiones 1.8.0 y 22.1.0;
• Oracle Communications Cloud Native Core Policy, versiones 1.14.0, 1.15.0 y 22.1.0;
• Oracle Communications Cloud Native Core Security Edge Protection Proxy, versiones 1.7.0 y 22.1.0;
• Oracle Communications Cloud Native Core Service Communication Proxy, versión 1.15.0;
• Oracle Communications Cloud Native Core Unified Data Repository, versiones 1.15.0 y 22.1.0;
• Oracle Communications Contacts Server, versión 8.0.0.6.0;
• Oracle Communications Convergence, versiones 3.0.2.2 y 3.0.3.0;
• Oracle Communications Convergent Charging Controller, versiones 6.0.1.0.0 y 12.0.1.0.0-12.0.4.0.0;
• Oracle Communications Design Studio, versiones 7.3.5 y 7.4.0-7.4.2;
• Oracle Communications Diameter Intelligence Hub, versiones 8.0.0-8.2.3;
• Oracle Communications Diameter Signaling Router, versión 8.4.0.0;
• Oracle Communications EAGLE Application Processor;
• Oracle Communications EAGLE Element Management System, versión 46.6;
• Oracle Communications EAGLE FTP Table Base Retrieval, versión 4.5;
• Oracle Communications EAGLE LNP Application Processor, versiones 10.1 y 10.2;
• Oracle Communications EAGLE Software, versiones 46.7.0, 46.8.0-46.8.2 y 46.9.1-46.9.3;
• Oracle Communications Element Manager, versiones anteriores a 9.0;
• Oracle Communications Evolved Communications Application Server, versión 7.1;
• Oracle Communications Instant Messaging Server, versión 10.0.1.5.0;
• Oracle Communications Interactive Session Recorder, versión 6.4;
• Oracle Communications IP Service Activator, versión 7.4.0;
• Oracle Communications Messaging Server, versión 8.1;
• Oracle Communications MetaSolv Solution, versión 6.3.1;
• Oracle Communications Network Charging y Control, versiones 6.0.1.0.0 y 12.0.1.0.0-12.0.4.0.0;
• Oracle Communications Network Integrity, versiones 7.3.2, 7.3.5 y 7.3.6;
• Oracle Communications Operations Monitor, versiones 4.3, 4.4 y 5.0;
• Oracle Communications Order y Service Management, versiones 7.3 y 7.4;
• Oracle Communications Performance Intelligence Center (PIC) Software, versiones 10.3.0.0.0-10.3.0.2.1 y 10.4.0.1.0-10.4.0.3.1;
• Oracle Communications Policy Management, versiones 12.5.0.0.0 y 12.6.0.0.0;
• Oracle Communications Pricing Design Center, versiones 12.0.0.4 y 12.0.0.5;
• Oracle Communications Services Gatekeeper, versión 7.0.0.0.0;
• Oracle Communications Session Border Controller, versiones 8.4 y 9.0;
• Oracle Communications Session Report Manager, versiones anteriores a 9.0;
• Oracle Communications Session Route Manager, versiones anteriores a 9.0;
• Oracle Communications Unified Inventory Management, versiones 7.4.1 y 7.4.2;
• Oracle Communications Unified Session Manager, versiones 8.2.5 y 8.4.5;
• Oracle Communications User Data Repository, versión 12.4;
• Oracle Communications WebRTC Session Controller, versión 7.2.1;
• Oracle Data Integrator, versiones 12.2.1.3.0 y 12.2.1.4.0;
• Oracle Database Server, versiones 12.1.0.2, 19c y 21c;
• Oracle Documaker, versiones 12.6.0, 12.6.2-12.6.4 y 12.7.0;
• Oracle E-Business Suite, versiones 12.2.4-12.2.11, [EBS Cloud Manager y Backup Module] anteriores a 22.1.1.1, [Enterprise Command Center] 7.0 y [Enterprise Information Discovery] 7-9;
• Oracle Enterprise Communications Broker, versiones 3.2 y 3.3;
• Oracle Enterprise Session Border Controller, versiones 8.4 y 9.0;
• Oracle Ethernet Switch ES1-24, versión 1.3.1;
• Oracle Ethernet Switch TOR-72, versión 1.2.2;
• Oracle Financial Services Analytical Applications Infrastructure, versiones 8.0.6.0-8.0.9.0 y 8.1.0.0-8.1.2.0;
• Oracle Financial Services Behavior Detection Platform, versiones 8.0.6.0-8.0.8.0, 8.1.1.0, 8.1.1.1 y 8.1.2.0;
• Oracle Financial Services Enterprise Case Management, versiones 8.0.7.1, 8.0.7.2, 8.0.8.0, 8.0.8.1, 8.1.1.0, 8.1.1.1 y 8.1.2.0;
• Oracle Financial Services Revenue Management y Billing, versiones 2.7.0.0, 2.7.0.1 y 2.8.0.0;
• Oracle FLEXCUBE Universal Banking, versiones 11.83.3, 12.1-12.4, 14.0-14.3 y 14.5;
• Oracle Global Lifecycle Management OPatch;
• Oracle GoldenGate, versiones anteriores a 12.3.0.1.2 y 23.1;
• Oracle GoldenGate Application Adapters, versiones anteriores a 23.1;
• Oracle GoldenGate Big Data y Application Adapters, versiones anteriores a 23.1;
• Oracle GraalVM Enterprise Edition, versiones 20.3.5, 21.3.1 y 22.0.0.2;
• Oracle Health Sciences Empirica Signal, versiones 9.1.0.6 y 9.2.0.0;
• Oracle Health Sciences InForm, versiones 6.2.1.1, 6.3.2.1 y 7.0.0.0;
• Oracle Health Sciences InForm Publisher, versiones 6.2.1.1 y 6.3.1.1;
• Oracle Health Sciences Information Manager, versiones 3.0.1-3.0.4;
• Oracle Healthcare Data Repository, versiones 8.1.0 y 8.1.1;
• Oracle Healthcare Foundation, versiones 7.3.0.1-7.3.0.4;
• Oracle Healthcare Master Person Index, versión 5.0.1;
• Oracle Healthcare Translational Research, versiones 4.1.0 y 4.1.1;
• Oracle Hospitality Suite8, versiones 8.10.2 y 8.11.0-8.14.0;
• Oracle Hospitality Token Proxy Service, versión 19.2;
• Oracle HTTP Server, versiones 12.2.1.3.0 y 12.2.1.4.0;
• Oracle Hyperion BI+, versiones anteriores a 11.2.8.0;
• Oracle Hyperion Calculation Manager, versiones anteriores a 11.2.8.0;
• Oracle Hyperion Data Relationship Management, versiones anteriores a 11.2.8.0 y 11.2.9.0;
• Oracle Hyperion Financial Management, versiones anteriores a 11.2.8.0;
• Oracle Hyperion Infrastructure Technology, versiones anteriores a 11.2.8.0;
• Oracle Hyperion Planning, versiones anteriores a 11.2.8.0;
• Oracle Hyperion Profitability y Cost Management, versiones anteriores a 11.2.8.0;
• Oracle Hyperion Tax Provision, versiones anteriores a 11.2.8.0;
• Oracle Identity Management Suite, versiones 12.2.1.3.0 y 12.2.1.4.0;
• Oracle Identity Manager Connector, versiones 9.1.0 y 11.1.1.5.0;
• Oracle iLearning, versiones 6.2 y 6.3;
• Oracle Insurance Data Gateway, versión 1.0.1;
• Oracle Insurance Insbridge Rating y Underwriting, versiones 5.2.0, 5.4.0-5.6.0 y 5.6.1;
• Oracle Insurance Policy Administration, versiones 11.0.2, 11.1.0, 11.2.8, 11.3.0 y 11.3.1;
• Oracle Insurance Rules Palette, versiones 11.0.2, 11.1.0, 11.2.8, 11.3.0 y 11.3.1;
• Oracle Internet Directory, versiones 12.2.1.3.0 y 12.2.1.4.0;
• Oracle Java SE, versiones 7u331, 8u321, 11.0.14, 17.0.2 y 18;
• Oracle JDeveloper, versiones 12.2.1.3.0 y 12.2.1.4.0;
• Oracle Managed File Transfer, versiones 12.2.1.3.0 y 12.2.1.4.0;
• Oracle Middleware Common Libraries y Tools, versión 12.2.1.4.0;
• Oracle NoSQL Database;
• Oracle Outside In Technology, versión 8.5.5;
• Oracle Payment Interface, versiones 19.1 y 20.3;
• Oracle Product Lifecycle Analytics, versión 3.6.1.0;
• Oracle REST Data Services, versiones anteriores a 21.2;
• Oracle Retail Bulk Data Integration, versión 16.0.3;
• Oracle Retail Customer Insights, versiones 15.0.2 y 16.0.2;
• Oracle Retail Customer Management y Segmentation Foundation, versiones 17.0-19.0;
• Oracle Retail Data Extractor para Merchandising, versiones 15.0.2 y 16.0.2;
• Oracle Retail EFTLink, versiones 17.0.2, 18.0.1, 19.0.1, 20.0.1 y 21.0.0;
• Oracle Retail Extract Transform y Load, versión 13.2.8;
• Oracle Retail Financial Integration, versiones 14.1.3.2, 15.0.3.1, 16.0.1-16.0.3, 19.0.0 y 19.0.1;
• Oracle Retail Integration Bus, versiones 14.1.3.2, 15.0.3.1, 16.0.1-16.0.3, 19.0.0 y 19.0.1;
• Oracle Retail Invoice Matching, versión 16.0.3;
• Oracle Retail Merchandising System, versiones 16.0.3 y 19.0.1;
• Oracle Retail Service Backbone, versiones 14.1.3.2, 15.0.3.1, 16.0.1-16.0.3, 19.0.0 y 19.0.1;
• Oracle Retail Store Inventory Management, versiones 14.0.4.13, 14.1.3.5, 14.1.3.14, 15.0.3.3, 15.0.3.8 y 16.0.3.7;
• Oracle Retail Xstore Office Cloud Service, versiones 16.0.6, 17.0.4, 18.0.3, 19.0.2 y 20.0.1;
• Oracle Retail Xstore Point of Service, versiones 16.0.6, 17.0.4, 18.0.3, 19.0.2, 20.0.1 y 21.0.0;
• Oracle SD-WAN Edge, versiones 9.0 y 9.1;
• Oracle Secure Backup;
• Oracle Secure Global Desktop, versión 5.6;
• Oracle Solaris, versión 11;
• Oracle Solaris Cluster, versión 4;
• Oracle SQL Developer, versiones anteriores a 21.99;
• Oracle StorageTek ACSLS, versión 8.5.1;
• Oracle StorageTek Tape Analytics (STA), versión 2.4;
• Oracle Taleo Platform, versiones anteriores a 22.1;
• Oracle Transportation Management, versiones 6.4.3 y 6.5.1;
• Oracle Tuxedo, versión 12.2.2.0.0;
• Oracle Utilities Framework, versiones 4.3.0.1.0-4.3.0.6.0, 4.4.0.0.0, 4.4.0.2.0 y 4.4.0.3.0;
• Oracle VM VirtualBox, versiones anteriores a 6.1.34;
• Oracle Web Services Manager, versiones 12.2.1.3.0 y 12.2.1.4.0;
• Oracle WebCenter Portal, versiones 12.2.1.3.0 y 12.2.1.4.0;
• Oracle WebCenter Sites, versiones 12.2.1.3.0 y 12.2.1.4.0;
• Oracle WebLogic Server, versiones 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.0;
• Oracle ZFS Storage Appliance Kit, versión 8.8;
• OSS Support Tools, versiones 2.12.42 y 18.3;
• PeopleSoft Enterprise CS Academic Advisement, versión 9.2;
• PeopleSoft Enterprise FIN Cash Management, versión 9.2;
• PeopleSoft Enterprise PeopleTools, versiones 8.58 y 8.59;
• PeopleSoft Enterprise PRTL Interaction Hub, versión 9.1;
• Primavera Unifier, versiones 17.7-17.12, 18.8, 19.12, 20.12 y 21.12.
I.Descripción
Oracle ha publicado una actualización crítica con parches para corregir vulnerabilidades, que afectan a múltiples productos. Esta actualización resuelve 520 vulnerabilidades, algunas de las cuales son críticas.
II.Impacto
Las vulnerabilidades que afectan a Oracle Solaris pueden afectar a Oracle ZFSSA, por lo que los clientes de Oracle deben consultar el documento sobre actualizaciones de parches críticos de Oracle y Sun Systems Product Suite, My Oracle Support Note 2160904.1, para obtener información sobre las revisiones mínimas de los parches de seguridad necesarios para resolver los problemas de ZFSSA, publicados en las actualizaciones de parches críticos y los boletines de Solaris de terceros.
Los boletines de terceros de Solaris se utilizan para anunciar los parches de seguridad para el software de terceros distribuido con Oracle Solaris. Los clientes de Solaris 10 deben consultar los últimos conjuntos de parches de seguridad críticos, detallados en el documento de disponibilidad de parches. Se puede consultar el índice de referencia de CVE y parches de Solaris (My Oracle Support Note 1448883.1) para obtener más información.
Los usuarios que utilicen Java SE con un navegador pueden descargar la última versión desde la web de Java. Los usuarios de las plataformas Windows y macOS X también pueden utilizar las actualizaciones automáticas para obtener la última versión.
La presencia de una vulnerabilidad en una contaminación de prototipos en una dependencia de jQuery y Cross-Site Scripting (XSS) almacenado.
III. Referencia a soluciones, herramientas e información
Actualizar las versiones correspondientes, mediante el siguiente enlace: https://www.oracle.com/security-alerts/cpuapr2022.html
Fuentes:
- Instituto Nacional de Ciberseguridad, INCIBE. Avisos Seguridad, Actualizaciones críticas en Oracle (abril 2022). 20 de abril del 2022. Recopilado en: https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/actualizaciones-criticas-oracle-abril-2022
- CSIRT Nacional de Chile. 9VSA22-00623-01 CSIRT alerta de actualización de seguridad de Oracle para abril 2022. 20 de abril del 2022. Recopilado en: https://www.csirt.gob.cl/vulnerabilidades/9vsa22-00623-01/
Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124