<\/p>\n\n\n\n
Gravedad: cr\u00edticas,\naltas, medias y bajas <\/p>\n\n\n\n
Fecha de publicaci\u00f3n: Julio 22, 2020
\u00daltima revisi\u00f3n: Julio 20, 2020
Portal: https:\/\/www.oracle.com\/<\/p>\n\n\n\n
Sistemas Afectados: Diversos productos afectados. <\/p>\n\n\n\n
I. Descripci\u00f3n<\/strong><\/p>\n\n\n\n Oracle ha publicado una actualizaci\u00f3n cr\u00edtica con parches para corregir vulnerabilidades que afectan a m\u00faltiples productos.<\/p>\n\n\n\n II. Impacto<\/strong><\/p>\n\n\n\n Se\nidentificaron vulnerabilidades que permitir\u00edan a un atacante no autenticado y\ncon acceso a la red, comprometer el producto afectado:<\/p>\n\n\n\n Adem\u00e1s, fueron abordadas vulnerabilidades de\nejecuci\u00f3n remota de c\u00f3digo:<\/p>\n\n\n\n Por otro lado, se identificaron vulnerabilidades\nque permitir\u00edan a un atacante obtener informaci\u00f3n confidencial y\/o\npotencialmente \u00fatil para realizar otros ataques. El CVE-2018-11058, afecta a\nCommunications Analytics versi\u00f3n 12.1.1 y a Oracle WebLogic Server en versiones\n10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0 y 12.2.1.4.0. Mientras que el CVE-2020-7060,\nafecta a Oracle Communications Diameter Signaling Router (DSR) 8.0-8.4. Y\nfinalmente, el CVE-2020-1945, afecta a los productos:<\/p>\n\n\n\n Vulnerabilidades de XXE (XML External Entity). Las\ncuales podr\u00edan permitir a un atacante obtener datos confidenciales, realizar\nataques de denegaci\u00f3n de servicio (DoS), falsificar solicitudes del lado del\nservidor, escanear puertos, y ejecutar c\u00f3digo remoto en el sistema afectado:<\/p>\n\n\n\n Por otro lado el CVE-2020-11656, trata de una\nvulnerabilidad de use-after-free que afecta a los productos Oracle\nCommunications Network Charging and Control 6.0.1 y 12.0.0-12.0.3; y Oracle ZFS\nStorage Appliance Kit 8.8.<\/p>\n\n\n\n Mientras que el CVE-2018-17196, trata de una\nvulnerabilidad que permitir\u00eda a un atacante sobrepasar restricciones y afecta\nal cliente Apache Kafka de Primavera P6 Enterprise Project Portfolio Management\nversiones 19.12.0-19.12.6.<\/p>\n\n\n\n Adem\u00e1s se identificaron vulnerabilidades que ser\nexplotadas exitosamente permitir\u00eda a un atacante realizar modificaciones y\nvisualizar datos confidenciales en el sistema afectado. El CVE-2020-14598,\nafecta a Oracle CRM Gateway para dispositivos m\u00f3viles en versiones\n12.1.1-12.1.3; el CVE-2020-14599 afecta Oracle Marketing en versiones 12.1.1-12.1.3,\n12.2.3-12.2.9 y el CVE-2020-14658 afecta a Oracle Trade Management en versiones\n12.1.1-12.1.3, 12.2.3-12.2.9.<\/p>\n\n\n\n M\u00faltiples fallos de Polymorphic Typing, que\npermitir\u00edan a un atacante ejecutar payloads maliciosos. El CVE-2019-17531,\nafecta al framework de seguridad de Oracle WebCenter Portal 12.2.1.3.0,\n12.2.1.4.0. Los CVE-2019-12086 y CVE-2019-16943, afectan al componente\njackson-databind de los siguientes productos:<\/p>\n\n\n\n El CVE-2019-17560, trata de una vulnerabilidad de\ninyecci\u00f3n de c\u00f3digo y afecta al componente Apache Netbeans de Oracle GraalVM\nEnterprise Edition versiones 19.3.2 y 20.1.0.<\/p>\n\n\n\n El CVE-2016-5019, trata de una vulnerabilidad de\ndeserializaci\u00f3n insegura. La explotaci\u00f3n exitosa podr\u00eda permitir a un atacante\nrealizar ataques de denegaci\u00f3n de servicios (DoS) o ejecutar c\u00f3digo remoto.\nEste fallo afecta al componente Apache Trinidad de Oracle Rapid Planning\nversiones 12.1 y 12.2.<\/p>\n\n\n\n El CVE-2020-9546, se da debido a que el componente\njackson-databind no maneja correctamente la interacci\u00f3n entre los dispositivos\nde serializaci\u00f3n y afecta a los productos:<\/p>\n\n\n\n Finalmente, se abordaron fallos de riesgo alto,\nalgunos de ellos son:<\/p>\n\n\n\n Vulnerabilidades que permitir\u00edan a un atacante\ntomar control del sistema afectado en Oracle VM VirtualBox (CVE-2020-14628,\nCVE-2020-14646, CVE-2020-14647, CVE-2020-14649), Java SE (CVE-2020-14664,\nCVE-2020-14583) y Oracle Database Server (CVE-2020-2968) . Vulnerabilidades de\ndenegaci\u00f3n de servicios (DoS) en MySQL Server , MySQL Connector (CVE-2020-1967)\ny Java SE (CVE-2020-14562). M\u00e1s detalles, sobre todas las vulnerabilidades\nabordadas pueden ser visualizados en el aviso de seguridad oficial de Oracle.<\/p>\n\n\n\n III. Referencia a soluciones, herramientas e\ninformaci\u00f3n<\/strong><\/strong><\/p>\n\n\n\n De acuerdo a las vulnerabilidades, aplicar los parches\nde seguridad mediante su sitio oficial (https:\/\/www.oracle.com\/security-alerts\/cpujul2020.html).\n<\/p>\n\n\n\n Fuentes:<\/strong><\/p>\n\n\n\n Informaci\u00f3n de contacto<\/strong> Gravedad: cr\u00edticas, altas, medias y bajas Fecha de publicaci\u00f3n: Julio 22, 2020 \u00daltima revisi\u00f3n: Julio 20, 2020 Portal: https:\/\/www.oracle.com\/ Sistemas Afectados: Diversos productos afectados. I. Descripci\u00f3n Oracle ha publicado una actualizaci\u00f3n cr\u00edtica con parches para…<\/p>\n","protected":false},"author":4,"featured_media":2277,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_uf_show_specific_survey":0,"_uf_disable_surveys":false,"footnotes":""},"categories":[4],"tags":[],"class_list":["post-2274","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-avisos-de-seguridad"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/2274","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2274"}],"version-history":[{"count":2,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/2274\/revisions"}],"predecessor-version":[{"id":2278,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/2274\/revisions\/2278"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/media\/2277"}],"wp:attachment":[{"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2274"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2274"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2274"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\nCSIRT PANAMA
\nComputer Security Incident Response Team Autoridad Nacional para la Innovacion\nGubernamental
\nE-Mail: info@cert.pa
\nPhone: +507 520-CERT (2378)
\nWeb: https:\/\/cert.pa
\nTwitter: @CSIRTPanama
\nKey ID: 16F2B124<\/p>\n","protected":false},"excerpt":{"rendered":"