Actualización de seguridad para Oracle

Se ha reportado un nuevo aviso de seguridad sobre múltiples vulnerabilidades que afectan a productos de Oracle, que permitirían a un atacante realizar denegación de servicios (DoS), divulgación de información, obtener acceso no autorizado, entre otros. 

Las vulnerabilidades reportadas se componen de 28 (veintiocho) de severidad “Crítica”, 71 (setenta y uno) de severidad “Alta”, 77 (setenta y siete) de severidad “Media” y 6 (seis) de severidad “Baja”. Las principales se detallan a continuación: 

• CVE-2023-21890, de severidad “crítica”, con puntuación de 9.8. Esta vulnerabilidad se debe a una falla de seguridad en el componente Core de Oracle Communications Converged Application Server. Esto permitiría a un atacante no autenticado con acceso a la red, realizar ejecución arbitraria de código en el sistema afectado. 

• CVE-2022-37434, de severidad “crítica”, con puntuación de 9.8. Esta vulnerabilidad se debe a una falla en el componente de Security de Oracle BI Publisher. Esto permitiría a un atacante no autenticado con acceso a la red, obtener el control del producto afectado. 

• CVE-2022-42915, de severidad “crítica”, con puntuación de 9.8. Esta vulnerabilidad se debe a una falla de seguridad en el componente Install/Upgrade (cURL) de Oracle Communications Cloud Native Core. Esto permitiría a un atacante no autenticado con acceso a la red, obtener el control a la función de soporte del producto afectado a través de un enlace HTTP. 

Para visualizar la lista detallada de las vulnerabilidades subsanadas, ingresar al siguiente enlace. 

Algunos productos afectados son: 

• Oracle Banking Enterprise Default Management, versiones 2.6.2, 2.7.0, 2.7.1 y 2.12.0. 
• Oracle Banking Loans Servicing, versiones 2.8.0 y 2.12.0. 
• Oracle Banking Party Management, versión 2.7.0. 
• Oracle Banking Platform, versiones 2.6.2, 2.7.1 y 2.9.0, 2.12.0. 

Puede acceder a la lista completa de productos afectados aquí. 

Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante la siguiente guía: 

• https://www.oracle.com/support/ 

Referencias: 

• https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1476/ 
• https://nvd.nist.gov/vuln/detail/CVE-2023-21890 
• https://nvd.nist.gov/vuln/detail/CVE-2022-37434 
• https://nvd.nist.gov/vuln/detail/CVE-2022-42915 
• https://www.oracle.com/security-alerts/cpujan2023.html 
• https://www.oracle.com/security-alerts/cpujan2023verbose.html 
• https://www.oracle.com/support/