CSIRT Panamá Aviso 2023-01-19 Oracle: Actualizaciones críticas en Oracle (enero 2023)

CSIRT Panamá Aviso 2023-01-19 Oracle: Actualizaciones críticas en Oracle (enero 2023)

Gravedad: Alta
Fecha de publicación: enero 19, 2023
Última revisión: enero 19, 2023
Sitio web: https://www.oracle.com
Sistemas Afectados:
• Big Data Spatial y Graph, versiones anteriores a 21.4.3, anteriores a 23.1.0;
• Plataforma basado en Enterprise Manager, versiones 13.4.0.0, 13.5.0.0;
• Enterprise Manager Ops Center, versión 12.4.0.0;
• Servidores Fujitsu M10-1, M10-4, M10-4S, M12-1, M12-2, M12-2S, versiones anteriores a XCP2411, anteriores a XCP3111, anteriores a XCP4011;
• GoldenGate Stream Analytics, versiones anteriores a 19.1.0.0.8;
• GoldenGate Veridata, versiones anteriores a 12.2.1.4.220831;
• JD Edwards EnterpriseOne Orchestrator, versiones anteriores a 9.2.7.2;
• JD Edwards EnterpriseOne Tools, versiones anteriores a 9.2.7.2;
• Motor de gestión en la nube, versión 22.1.0.0.0;
• Management Pack para Oracle GoldenGate, versiones anteriores a 12.2.1.2.221115;
• Herramientas y bibliotecas comunes de Middleware, versiones 12.2.1.4.0, 14.1.1.0.0;
• MySQL Cluster, versiones 7.4.38 y anteriores, 7.5.28 y anteriores, 7.6.24 y anteriores, 8.0.31 y anteriores;
• MySQL Connectors, versiones 8.0.31 y anteriores;
• MySQL Enterprise Monitor, versiones 8.0.32 y anteriores;
• MySQL Server, versiones 5.7.40 y anteriores, 8.0.31 y anteriores;
• MySQL Shell, versiones 8.0.31 y anteriores;
• MySQL Workbench, versiones 8.0.31 y anteriores;
• Administrador de acceso de Oracle, versión 12.2.1.4.0;
• Oracle Agile PLM, versión 9.3.6;
• Oracle AutoVue, versiones anteriores a 21.0.2.6;
• Oracle Banking Enterprise Default Management, versiones 2.6.2, 2.7.0, 2.7.1, 2.12.0;
• Oracle Banking Loans Servicing, versiones 2.8.0, 2.12.0;
• Oracle Banking Party Management, versión 2.7.0;
• Oracle Banking Platform, versiones 2.6.2, 2.7.1, 2.9.0, 2.12.0;
• Oracle BI Publisher, versiones 5.9.0.0.0, 6.4.0.0.0, 12.2.1.4.0;
• Oracle Business Intelligence Enterprise Edition, versiones 5.9.0.0.0, 6.4.0.0.0;
• Oracle Coherence, versiones 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0
• Búsqueda guiada de Oracle Commerce, versión 11.3.2;
• Oracle Communications Billing and Revenue Management, versiones 12.0.0.4.0-12.0.0.7.0;
• Oracle Communications BRM: motor de carga elástica, versiones 12.0.0.3.0-12.0.0.7.0;
• Oracle Communications Calendar Server, versión 8.0.0.6.0;
• Oracle Communications Cloud Native Core Automated Test Suite, versiones 22.2.2, 22.3.1, 22.4.0;
• Oracle Communications Cloud Native Core Binding Support Function, versiones 22.1.0, 22.1.1, 22.2.0, 22.2.1, 22.2.2, 22.2.4, 22.3.0-22.4.0;
• Oracle Communications Cloud Native Core Console, versiones 22.3.0, 22.4.0;
• Oracle Communications Cloud Native Core Network Data Analytics Function, versión 22.0.0.0.0;
• Oracle Communications Cloud Native Core Network Exposure Function, versiones 22.3.1, 22.4.0;
• Oracle Communications Cloud Native Core Network Function Cloud Native Environment, versión 22.3.0;
• Oracle Communications Cloud Native Core Network Repository Function, versiones 22.3.0, 22.3.2;
• Oracle Communications Cloud Native Core Network Slice Selection Function, versiones 22.3.1, 22.4.1;
• Política de Oracle Communications Cloud Native Core, versiones 1.11.0, 22.3.0, 22.4.0;
• Oracle Communications Cloud Native Core Security Edge Protection Proxy, versiones 22.3.1, 22.4.0;
• Repositorio de datos unificados de Oracle Communications Cloud Native Core, versiones 22.2.2, 22.2.3, 22.3.3, 22.3.4, 22.4.0;
• Servidor de contactos de Oracle Communications, versión 8.0.0.7.0;
• Servidor de aplicaciones convergentes de Oracle Communications, versiones 7.1.0, 8.0.0;
• Oracle Communications Convergence, versión 3.0.3.1.0;
• Oracle Communications Design Studio, versión 7.4.2;
• Oracle Communications Diameter Intelligence Hub, versión 8.2.3.0;
• Enrutador de señalización de diámetro de Oracle Communications, versión 8.6.0.0;
• Motor de carga elástica de Oracle Communications, versiones 12.0.0.3.0-12.0.0.7.0;
• Servidor de mensajería instantánea Oracle Communications, versión 10.0.1.6.0;
• Servidor de mensajería de Oracle Communications, versión 8.1.0.20.0;
• Solución Oracle Communications MetaSolv, versión 6.3.1;
• Oracle Communications Order and Service Management, versión 7.4.0;
• Software Oracle Communications Performance Intelligence Center (PIC), versión 10.4.0.4.1;
• Oracle Communications Pricing Design Center, versiones 12.0.0.5.0-12.0.0.7.0;
• Oracle Communications Unified Assurance, versiones 5.5.0-5.5.9, 6.0.0-6.0.1;
• Oracle Communications Unified Inventory Management, versiones 7.4.0-7.4.2, 7.5.0;
• Oracle Database Server, versiones 19c, 21c, [Perl] anteriores a 5.35;
• Oracle Demantra Demand Management, versiones 12.1, 12.2, 12.2.7, 12.2.8, 12.2.9, 12.2.10, 12.2.11, 12.2.12;
• Oracle Documaker, versiones 12.4.0-12.7.0;
• Oracle E-Business Suite, versiones 12.2.3-12.2.12;
• Oracle Essbase, versión 21.4;
• Oracle Financial Services Crime and Compliance Management Studio, versión 8.0.8.3.1;
• Oracle Fusion Middleware MapViewer, versión 12.2.1.4.0;
• Oracle Global Lifecycle Management NextGen OUI Framework, versiones anteriores a 13.9.4.2.11;
• Oracle Global Lifecycle Management OPatchAuto, versiones [DB] anteriores a 12.2.0.1.35;
• Oracle GraalVM Enterprise Edition, versiones 20.3.8, 21.3.4, 22.3.0;
• Oracle Graph Server and Client, versiones anteriores a 21.4.3, anteriores a 22.4.0, anteriores a 23.1.0;
• Oracle Health Sciences Empirica Signal, versiones 9.1.0.52, 9.2.0.52;
• Repositorio de datos de Oracle Healthcare, versiones 8.1.0.0-8.1.3.1;
• Oracle Healthcare Translational Research, versiones 4.1.0.0-4.1.1.1;
• Oracle Hospitality Cruise Shipboard Property Management System, versión 20.2.2;
• Regalo y fidelidad de Oracle Hospitality, versión 9.1.0;
• Oracle Hospitality Labor Management, versión 9.1.0;
• Informes y análisis de Oracle Hospitality, versión 9.1.0;
• Oracle Hospitality Simphony, versiones 18.2.11, 19.3.4;
• Servidor HTTP de Oracle, versión 12.2.1.4.0;
• Tecnología de infraestructura Oracle Hyperion, versión 11.2.10;
• Oracle Java SE, versiones 8u351, 8u351-perf, 11.0.17, 17.0.5, 19.0.1;
• Herramientas y bibliotecas comunes de Oracle Middleware, versión 12.2.1.4.0;
• Oracle Outside In Technology, versión 8.5.6;
• Oracle Retail Service Backbone, versiones 14.1.3.2, 15.0.3.1, 16.0.3;
• Oracle SD-WAN Aware, versiones 8.2.1.9.0, 9.0.1.4.0;
• Oracle Solaris, versiones 10, 11;
• Oracle Spatial Studio, versiones anteriores a 22.3.0;
• Oracle Stream Analytics, versiones anteriores a 19.1.0.0.8;
• Oracle TimesTen In-Memory Database, versiones anteriores a 11.2.2.8.65;
• Oracle Utilities Framework, versiones 4.3.0.5.0, 4.3.0.6.0, 4.4.0.0.0, 4.4.0.2.0, 4.4.0.3.0, 4.5.0.0.0;
• Oracle Utilities Network Management System, versiones 2.3.0.2, 2.4.0.1, 2.5.0.0-2.5.0.2;
• Oracle VM VirtualBox, versiones anteriores a 6.1.42, anteriores a 7.0.6;
• Administrador de servicios web de Oracle, versión 12.2.1.4.0;
• Contenido de Oracle WebCenter, versión 12.2.1.4.0;
• Sitios de Oracle WebCenter, versión 12.2.1.4.0;
• Servidor Oracle WebLogic, versiones 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0;
• Herramientas de soporte de OSS, versiones 2.12.43, 22.2.22.4.5, 22.4.22.10.18;
• Objetos de aplicación común de PeopleSoft Enterprise CC, versión 9.2;
• Orientación académica de PeopleSoft Enterprise CS, versión 9.2;
• PeopleSoft Enterprise PeopleTools, versiones 8.58, 8.59, 8.60;
• Primavera Gateway, versiones 18.8.0-18.8.15, 19.12.0-19.12.15, 20.12.0-20.12.10, 21.12.0-21.12.8;
• Primavera Unifier, versiones 18.8, 19.12, 20.12, 21.12, 22.12;
• Aplicaciones Siebel, versiones 22.10 y anteriores.

III. Descripción

Se han publicado la actualización critica del software Oracle con parches para corregir vulnerabilidades que afectan a múltiples productos.

IV. Impacto

La actualización resuelve 358 vulnerabilidades, algunas de las cuales son críticas. El detalle de las vulnerabilidades resueltas se puede consultar en el enlace de Oracle, https://www.oracle.com/security-alerts/cpujan2023.html

III. Referencia a soluciones, herramientas e información

Aplicar los parches correspondientes, según los productos afectados. Del sitio oficial de Oracle.

Fuentes:

1.Instituto Nacional de Ciberseguridad, INCIBE. Avisos Seguridad, Vulnerabilidad crítica en Drupal. 18 de enero del 2023. Recopilado en: https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/actualizaciones-criticas-oracle-enero-2023
2.CSIRT CHILE. 18 de enero del 2023. 9VSA23-00774-01 CSIRT comparte informe de vulnerabilidades parchadas por Oracle en su Critical Patch Update de Enero 2023. Recopilado en: https://www.csirt.gob.cl/vulnerabilidades/9vsa23-00774-01/

Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124