{"id":2014,"date":"2020-04-21T21:55:25","date_gmt":"2020-04-22T02:55:25","guid":{"rendered":"https:\/\/cert.pa\/?p=2014"},"modified":"2020-04-21T21:55:42","modified_gmt":"2020-04-22T02:55:42","slug":"csirt-panama-aviso-2020-04-21-oracle-multiples-vulnerabilidades-que-afectan-al-servidor-de-base-de-datos-oracle","status":"publish","type":"post","link":"https:\/\/cert.pa\/?p=2014","title":{"rendered":"CSIRT Panam\u00e1 Aviso 2020-04-21 Oracle: M\u00faltiples vulnerabilidades que afectan al servidor de base de datos Oracle."},"content":{"rendered":"\n

Gravedad: Alta<\/strong> Vulnerabilidad:<\/strong> CVE-2020-2734 \/ CVE-2020-2514 \/ CVE-2016-7103 \/ CVE-2019-2853 \/ CVE-2020-2737 \/ CVE-2019-17563 \/ CVE-2016-10251 \/ CVE-2020-2735
Fecha de publicaci\u00f3n:<\/strong> Abril 21, 2020
\u00daltima revisi\u00f3n:<\/strong> Abril 21, 2020
Portal:<\/strong> https:\/\/www.oracle.com\/security-alerts\/cpuapr2020.html?1408<\/p>\n\n\n\n

Sistemas Afectados:<\/strong>
Vulnerabilidades de seguridad que afectan a diversos productos de Oracle Database, ver en impacto en los sistemas afectados seg\u00fan cada vulnerabilidad.
I. Descripci\u00f3n<\/strong>
Actualizaci\u00f3n de Oracle Database referente a m\u00faltiples vulnerabilidades cr\u00edticas que afectan a sus productos, versiones corregidas mediante la versi\u00f3n publicada por el fabricante. <\/p>\n\n\n\n

\u2022 Vulnerabilidad: CVE-2020-2734<\/strong>
Descripci\u00f3n:<\/strong> Debido a una inapropiada validaci\u00f3n de datos ingresados con \u201cRDBMS\/Optimizer\u201d en el servidor, un atacante remoto privilegiado podr\u00eda explotar esta vulnerabilidad para conseguir acceso a informaci\u00f3n potencialmente sensible.
Productos Afectados:<\/strong> Oracle Database versiones 19c, 18c, 12.2.0.1 y 12.1.0.2.
Mitigaci\u00f3n:<\/strong> Actualizar a la versi\u00f3n publicada por el fabricante.
Enlaces:<\/strong>https:\/\/www.oracle.com\/security-alerts\/cpuapr2020.html?1408<\/a><\/p>\n\n\n\n

\u2022 Vulnerabilidad: CVE-2020-2514<\/strong>
Descripci\u00f3n:<\/strong> Debido a una inapropiada validaci\u00f3n de datos con Oracle Apex en el servidor, un atacante remoto autenticado podr\u00eda explotar esta vulnerabilidad para eliminar o manipular datos.
Productos Afectados:<\/strong> Oracle Apex versiones 19.1, 19.0, 18.2, 18.1, 18.0.
Mitigaci\u00f3n:<\/strong> Actualizar a la versi\u00f3n publicada por el fabricante.
Enlaces:<\/strong> https:\/\/www.oracle.com\/security-alerts\/cpuapr2020.html?1408<\/a><\/p>\n\n\n\n

\u2022 Vulnerabilidad: CVE-2016-7103<\/strong>
Descripci\u00f3n:<\/strong> Debido a un error de validaci\u00f3n de datos en jQuery UI versiones anteriores a la 1.12.0, un atacante remoto autenticado podr\u00eda enga\u00f1ar a una v\u00edctima para que acceda a un enlace especialmente dise\u00f1ado y as\u00ed ejecutar c\u00f3digo script y HTML arbitrario en el navegador de la v\u00edctima en el contexto de seguridad del sitio web vulnerable. Una explotaci\u00f3n exitosa permitir\u00eda a un atacante realizar ataques phishing, cambiar la apariencia del sitio, robar informaci\u00f3n potencialmente sensible, entre otros.
Productos Afectados:<\/strong> Oracle Apex versiones 19.0, 18.2, 18.1, 18.0.
Mitigaci\u00f3n:<\/strong> Actualizar a la versi\u00f3n publicada por el fabricante.
Enlaces:<\/strong> https:\/\/www.oracle.com\/security-alerts\/cpuapr2020.html?1408<\/a><\/p>\n\n\n\n

\u2022 Vulnerabilidad: CVE-2019-2853<\/strong>
Descripci\u00f3n: <\/strong>Debido a una inapropiada validaci\u00f3n de datos con \u201cOracle Text\u201d en el servidor, un atacante remoto y autenticado podr\u00eda explotar esta vulnerabilidad para leer y manipular datos.
Productos Afectados:<\/strong> Oracle Database versiones 19c, 18c, 12.2.0.1, 12.1.0.2 y 11.2.0.4.
Mitigaci\u00f3n:<\/strong> Actualizar a la versi\u00f3n publicada por el fabricante.
Enlaces:<\/strong> https:\/\/www.oracle.com\/security-alerts\/cpuapr2020.html?1408<\/p>\n\n\n\n

\u2022 Vulnerabilidad: CVE-2020-2737<\/strong>
Descripci\u00f3n:<\/strong> Debido a una inapropiada validaci\u00f3n de datos con \u201cCore RDBMS\u201d en el servidor, un atacante privilegiado podr\u00eda explotar esta vulnerabilidad para lograr ejecutar c\u00f3digo de forma arbitraria.
Productos Afectados:<\/strong> Oracle Database versiones 19c, 18c, 12.2.0.1, 12.1.0.2 y 11.2.0.4.
Mitigaci\u00f3n:<\/strong> Actualizar a la versi\u00f3n publicada por el fabricante.
Enlaces: <\/strong>https:\/\/www.oracle.com\/security-alerts\/cpuapr2020.html?1408<\/a><\/p>\n\n\n\n

\u2022 Vulnerabilidad: CVE-2019-17563<\/strong>
Descripci\u00f3n:<\/strong> Debido a una condici\u00f3n de carrera cuando el formulario de autenticaci\u00f3n es utilizado en Apache Tomcat, un atacante remoto podr\u00eda usar una ventana estrecha para realizar un ataque de fijaci\u00f3n de sesi\u00f3n (Session fixation).
Productos Afectados:<\/strong> Oracle Database versiones 19c, 18c y 12.2.0.1.
Mitigaci\u00f3n:<\/strong> Actualizar a la versi\u00f3n publicada por el fabricante.
Enlaces:<\/strong> https:\/\/www.oracle.com\/security-alerts\/cpuapr2020.html?1408<\/a><\/p>\n\n\n\n

\u2022 Vulnerabilidad: CVE-2016-10251<\/strong>
Descripci\u00f3n:<\/strong> Debido a una inapropiada validaci\u00f3n de datos con \u201cOracle Multimedia\u201d en el servidor, un atacante remoto y autenticado podr\u00eda explotar esta vulnerabilidad para lograr ejecutar c\u00f3digo de forma arbitraria.
Productos Afectados:<\/strong> Oracle Database versi\u00f3n 12.1.0.2.
Mitigaci\u00f3n:<\/strong> Actualizar a la versi\u00f3n publicada por el fabricante.
Enlaces:<\/strong> https:\/\/www.oracle.com\/security-alerts\/cpuapr2020.html?1408<\/a> <\/p>\n\n\n\n

\u2022 Vulnerabilidad: CVE-2020-2735<\/strong>
Descripci\u00f3n: <\/strong>Debido a una inapropiada validaci\u00f3n de datos con \u201cJava VM\u201d en el servidor, un atacante remoto y autenticado podr\u00eda explotar esta vulnerabilidad para lograr ejecutar c\u00f3digo de forma.
Productos Afectados:<\/strong> Oracle Database versiones 19c, 18c, 12.2.0.1, 12.1.0.2 y 11.2.0.4.
Mitigaci\u00f3n: <\/strong>Actualizar a la versi\u00f3n publicada por el fabricante.
Enlaces:<\/strong> https:\/\/www.oracle.com\/security-alerts\/cpuapr2020.html?1408<\/a><\/p>\n\n\n\n

III. Referencia a soluciones, herramientas e informaci\u00f3n<\/strong><\/p>\n\n\n\n

Actualizar a la versi\u00f3n publicada por el fabricante, de acuerdo a cada producto, ver en impacto seg\u00fan cada vulnerabilidad.
Fuentes: <\/strong>
\u2022 Common Vulnerabilities and Exposures (CVE). Recopilado en: https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2020-2734<\/a>
\u2022 Common Vulnerabilities and Exposures (CVE). Recopilado en: https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2020-2514<\/a>
\u2022 Common Vulnerabilities and Exposures (CVE). Recopilado en: https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2016-7103<\/a>
\u2022 Common Vulnerabilities and Exposures (CVE). Recopilado en: https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2019-2853<\/a>
\u2022 Common Vulnerabilities and Exposures (CVE). Recopilado en:
https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2020-2737<\/a>
\u2022 Common Vulnerabilities and Exposures (CVE). Recopilado en:
https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2019-17563<\/a>
\u2022 Common Vulnerabilities and Exposures (CVE). Recopilado en:
https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2016-10251<\/a>
\u2022 Common Vulnerabilities and Exposures (CVE). Recopilado en:
https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2020-2735<\/a>
\u2022 CSIRT Chile. 17 de abril del 2020. Vulnerabilidades. Recopilado en: https:\/\/www.csirt.gob.cl\/vulnerabilidades\/9vsa20-00182-01\/<\/a><\/p>\n\n\n\n

Informaci\u00f3n de contacto<\/strong>
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https:\/\/cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124<\/p>\n","protected":false},"excerpt":{"rendered":"

Gravedad: Alta Vulnerabilidad: CVE-2020-2734 \/ CVE-2020-2514 \/ CVE-2016-7103 \/ CVE-2019-2853 \/ CVE-2020-2737 \/ CVE-2019-17563 \/ CVE-2016-10251 \/ CVE-2020-2735 Fecha de publicaci\u00f3n: Abril 21, 2020 \u00daltima revisi\u00f3n: Abril 21, 2020 Portal: https:\/\/www.oracle.com\/security-alerts\/cpuapr2020.html?1408 Sistemas Afectados: Vulnerabilidades de…<\/p>\n","protected":false},"author":4,"featured_media":443,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_uf_show_specific_survey":0,"_uf_disable_surveys":false,"footnotes":""},"categories":[4],"tags":[],"class_list":["post-2014","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-avisos-de-seguridad"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/2014","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2014"}],"version-history":[{"count":1,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/2014\/revisions"}],"predecessor-version":[{"id":2015,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/2014\/revisions\/2015"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/media\/443"}],"wp:attachment":[{"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2014"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2014"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2014"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}