Actualizaciones de seguridad en productos de Oracle abordan 402 vulnerabilidades

Fecha: 22/10/2020

Actualizaciones de seguridad en Oracle han corregido 402 vulnerabilidades de las cuales 78 han sido catalogadas con riesgo crítico80 de riesgo alto180 de riesgo medio y 64 de riesgo bajo que afectan a múltiples de sus productos. La explotación exitosa de estos fallos podrían permitir a un atacante ejecutar código remoto, realizar ataques de denegación de servicios (DoS) entre otros ataques.

Productos Afectados:

Riesgo crítico:

  • Application Performance Management (APM), versiones 13.3.0.0, 13.4.0.0;
  • Big Data Spatial and Graph, versiones anteriores a 3.0;
  • Oracle REST Data Services, versiones 11.2.0.4, 12.1.0.2, 12.2.0.1, 18c, 19c, [Standalone ORDS] y anteriores a 20.2.1;
  • Oracle Communications BRM – Elastic Charging Engine, versiones 11.3.0.9.0, 12.0.0.3.0; Unified Inventory Management, versiones 7.3.0, 7.4.0; Application Session Controller, versiones 3.8m0, 3.9m0p1; Billing and Revenue Management, versiones 7.5.0.23.0, 12.0.0.2.0, 12.0.0.3.0; Diameter Signaling Router (DSR), versiones 8.0.0.0-8.4.0.5, [IDIH] 8.0.0-8.2.2; EAGLE Software, versiones 46.6.0-46.8.2; Element Manager, versiones 8.2.0-8.2.2; Evolved Communications Application Server, versión 7.1; Messaging Server, versión 8.1; Offline Mediation Controller, versión 12.0.0.3.0; Services Gatekeeper, versión 7; Session Border Controller, versiones 8.2-8.4; Session Report Manager, versiones 8.2.0-8.2.2; Session Route Manager, versiones 8.2.0-8.2.2; WebRTC Session Controller, versión 7.2;
  • Oracle TimesTen In-Memory Database, versiones anteriores a 11.2.2.8.49, 18.1.3.1.0, y anteriores a 18.1.4.1.0;
  • Instantis EnterpriseTrack, versiones 17.1, 17.2, 17.3;
  • Primavera Gateway, versiones 16.2.0-16.2.11, 17.12.0-17.12.8; Primavera Unifier, versiones 16.1, 16.2, 17.7-17.12, 18.8, 19.12;
  • Enterprise Manager Ops Center, en versiones 12.4.0.0;
  • Oracle Application Testing Suite, versión 13.3.0.1;
  • Oracle Banking Corporate Lending, versiones 12.3.0, 14.0.0-14.4.0; Digital Experience, versiones 18.1, 18.2, 18.3, 19.1, 19.2, 20.1; Payments, versiones 14.1.0-14.4.0; Platform, versiones 2.4.0-2.10.0;
  • Oracle FLEXCUBE Private Banking, versiones 12.0.0, 12.1.0;
  • Identity Manager Connector, versión 9.0;
  • Oracle Access Manager, versión 11.1.2.3.0;
  • Oracle Data Integrator, versiones 11.1.1.9.0, 12.2.1.3.0;
  • Oracle Endeca Information Discovery Integrator, versión 3.2.0; Discovery Studio, versión 3.2.0;
  • Oracle Enterprise Repository, versión 11.1.1.7.0; Session Border Controller, versión 8.4;
  • Oracle GoldenGate Application Adapters, versiones 12.3.2.1.0, 19.1.0.0.0;
  • Oracle HTTP Server, versiones 12.2.1.3.0, 12.2.1.4.0;
  • Oracle WebCenter Portal, versiones 11.1.1.9.0, 12.2.1.3.0, 12.2.1.4.0; WebLogic Server, versiones 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0;
  • Oracle Healthcare Data Repository, versión 7.0.1; Foundation, versiones 7.1.1, 7.2.0, 7.2.1, 7.3.0;
  • Oracle Health Sciences Empirica Signal, versión 9.0;
  • Oracle Hospitality Guest Access, versiones 4.2.0, 4.2.1;
  • Hyperion Essbase, versión 11.1.2.4;
  • Oracle Insurance Policy Administration J2EE, versiones 10.2.0.37, 10.2.4.12, 11.0.2.25, 11.1.0.15, 11.2.0.26, 11.2.2.0;
  • MySQL Cluster, versiones 7.3.30 y anteriores, 7.4.29 y anteriores, 7.5.19 y anteriores, 7.6.15 y anteriores, 8.0.21 y anteriores;
  • PeopleSoft PeopleTools, en versiones 8.56, 8.57, 8.58;
  • Oracle Retail Advanced Inventory Planning, versión 14.1; Assortment Planning, versiones 15.0.3.0, 16.0.3.0; Back Office, versiones 14.0, 14.1; Bulk Data Integration, versiones 15.0.3.0, 16.0.3.0; Central Office, versiones 14.0, 14.1; Customer Management and Segmentation Foundation, versiones 18.0, 19.0; Integration Bus, versiones 14.1, 15.0, 16.0; Order Broker, versiones 15.0, 16.0, 18.0, 19.0, 19.1, 19.2, 19.3; Point-of-Service, versiones 14.0, 14.1; Predictive Application Server, versiones 14.1.3.0, 15.0.3.0, 16.0.3.0; Price Management, versiones 14.0.4, 14.1.3.0, 15.0.3.0, 16.0.3.0; Returns Management, versiones 14.0, 14.1; Service Backbone, versiones 14.1, 15.0, 16.0; Xstore Point of Service, versiones 15.0.3, 16.0.5, 17.0.3, 18.0.2, 19.0.1;
  • Siebel Applications, versiones 20.7, 20.8.
  • Oracle Agile PLM, versiones 9.3.3, 9.3.5, 9.3.6;
  • Oracle Solaris, versiones 10, 11;
  • Oracle ZFS Storage Appliance Kit, versión 8.8;
  • Oracle Utilities Framework, versiones 2.2.0.0.0, 4.2.0.2.0, 4.2.0.3.0, 4.3.0.1.0-4.3.0.6.0, 4.4.0.0.0, 4.4.0.2.0;

Riesgo alto, medio y bajo:

  • Enterprise Manager Base Platform, versiones 13.2.1.0, 13.3.0.0, 13.4.0.0; for Peoplesoft, versión 13.4.1.1;for Storage Management, versiones 13.3.0.0, 13.4.0.0;Ops Center, versión 12.4.0.0;
  • Fujitsu M10-1, M10-4, M10-4S, M12-1, M12-2, M12-2S Servers, versiones anteriores a XCP2362, y anteriores a XCP3090; Fujitsu M12-1, M12-2, M12-2S Servers, versiones anteriores a XCP3090;
  • Hyperion Analytic Provider Services, versión 11.1.2.4; BI+, versión 11.1.2.4; Infrastructure Technology, versión 11.1.2.4; Lifecycle Management, versión 11.1.2.4; Planning, versión 11.1.2.4;
  • Management Pack for Oracle GoldenGate, versión 12.2.1.2.0;
  • MySQL Enterprise Monitor, versiones 8.0.21 y anteriores; MySQL Server, versiones 5.6.49 y anteriores, 5.7.31 y anteriores, 8.0.21 y anteriores; Workbench, versiones 8.0.21 y anteriores;
  • Oracle Agile Product Lifecycle Management for Process, versión 6.2.0.0;
  • Oracle Application Express, versiones anteriores a 20.2;
  • Oracle BI Publisher, versiones 5.5.0.0.0, 11.1.1.9.0, 12.2.1.3.0, 12.2.1.4.0;
  • Oracle Business Intelligence Enterprise Edition, versiones 5.5.0.0.0, 11.1.1.9.0, 12.2.1.3.0, 12.2.1.4.0; Process Management Suite, versiones 12.2.1.3.0, 12.2.1.4.0;
  • Oracle Database Server,racle Database Server versiones 11.2.0.4, 12.1.0.2, 12.2.0.1, 18c, 19c;
  • Oracle E-Business Suite, versiones 12.1.1-12.1.3, 12.2.3-12.2.10;
    • Oracle Financial Services Analytical Applications Infrastructure, versiones 8.0.6-8.1.0; Analytical Applications Reconciliation Framework, versiones 8.0.6-8.0.8, 8.1.0; Asset Liability Management, versiones 8.0.6, 8.0.7, 8.1.0; Balance Sheet Planning, versión 8.0.8; Basel Regulatory Capital Basic, versiones 8.0.6-8.0.8, 8.1.0; Basel Regulatory Capital Internal Ratings Based Approach, versiones 8.0.6-8.0.8, 8.1.0; Data Foundation, versiones 8.0.6-8.1.0; Data Governance for US Regulatory Reporting, versiones 8.0.6-8.0.9; Data Integration Hub, versiones 8.0.6, 8.0.7, 8.1.0; Funds Transfer Pricing, versiones 8.0.6, 8.0.7, 8.1.0; Hedge Management and IFRS Valuations, versiones 8.0.6-8.0.8, 8.1.0; Institutional Performance Analytics, versiones 8.0.6, 8.0.7, 8.1.0, 8.7.0; Liquidity Risk Management, versión 8.0.6; Liquidity Risk Measurement and Management, versiones 8.0.7, 8.0.8, 8.1.0; Loan Loss Forecasting and Provisioning, versiones 8.0.6-8.0.8, 8.1.0; Market Risk Measurement and Management, versiones 8.0.6, 8.0.8, 8.1.0; Price Creation and Discovery, versiones 8.0.6, 8.0.7; Profitability Management, versiones 8.0.6, 8.0.7, 8.1.0; Regulatory Reporting for European Banking Authority, versiones 8.0.6-8.1.0; Regulatory Reporting for US Federal Reserve, versiones 8.0.6-8.0.9; Regulatory Reporting with AgileREPORTER, versión 8.0.9.2.0; Retail Customer Analytics, versión 8.0.6;
  • Oracle FLEXCUBE Core Banking, versiones 5.2.0, 11.5.0-11.7.0; Direct Banking, versiones 12.0.1, 12.0.2, 12.0.3; Universal Banking, versiones 12.3.0, 14.0.0-14.4.0;
  • Oracle GraalVM Enterprise Edition, versiones 19.3.3, 20.2.0;
  • Oracle Hospitality Materials Control, versión 18.1; OPERA 5 Property Services, versiones 5.5, 5.6; Reporting and Analytics, versión 9.1.0; RES 3700, versión 5.7; Simphony, versiones 18.1, 18.2, 19.1.0-19.1.2; Suite8, versiones 8.10.2, 8.11-8.15;
  • Oracle Insurance Accounting Analyzer, versión 8.0.9; Allocation Manager for Enterprise Profitability, versiones 8.0.8, 8.1.0; Data Foundation, versiones 8.0.6-8.1.0; Insbridge Rating and Underwriting, versiones 5.0.0.0-5.6.0.0, 5.6.1.0; Rules Palette, versiones 10.2.0.37, 10.2.4.12, 11.0.2.25, 11.1.0.15, 11.2.0.26;
  • Oracle Java SE, versiones 7u271, 8u261, 11.0.8, 15; Java SE Embedded, versión 8u261;
  • Oracle JDeveloper, versiones 11.1.1.9.0, 12.2.1.3.0, 12.2.1.4.0;
  • Oracle Managed File Transfer, versiones 12.2.1.3.0, 12.2.1.4.0;
  • Oracle Outside In Technology, versiones 8.5.4, 8.5.5;
  • Oracle Policy Automation, versiones 12.2.0-12.2.20; Connector for Siebel, versión 10.4.6; for Mobile Devices, versiones 12.2.0-12.2.20;
  • Oracle Transportation Management, versión 6.3.7;
  • Oracle VM VirtualBox, versiones anteriores a 6.1.16;
  • PeopleSoft Enterprise HCM Global Payroll Core, versión 9.2; SCM eSupplier Connection, versión 9.2;

De las 78 vulnerabilidades críticas reportadas, se describen brevemente a continuación aquellas con impactos más graves y de explotación más probable.

Múltiples vulnerabilidades que permitirían a un atacante remoto no autenticado ejecutar código arbitrario:

  • El CVE-2019-0192, trata de una vulnerabilidad de ejecución remota de código que afecta al componente Apache Solr de Big Data Spatial and Graph en versiones anteriores a la 3.0.
  • El CVE-2017-5645, afecta al componente Apache Log4j de Oracle TimesTen In-Memory Database en versiones anteriores a la 11.2.2.8.49 e Identity Manager Connector versión 9.0 . Este fallo se da cuando se utiliza un servidor de socket TCP o UDP para recibir eventos de registro serializados de otra aplicación.
  • El CVE-2019-10173, afecta al componente xtream de los siguientes productos:
    • Oracle Communications Unified Inventory Management en versiones 7.3.0, 7.4.0;
    • Oracle Communications BRM – Elastic Charging Engine en versiones 11.3.0.9.0 y 12.0.0.3.0;
    • Oracle Banking Platform en versiones 2.4.0-2.10.0;
    • Oracle Endeca Information Discovery Studio version 3.2.0;
    • Oracle WebCenter Portal, en versiones 11.1.1.9.0 y 12.2.1.3.0.
    • Oracle Utilities Framework, en versiones 2.2.0.0.0, 4.2.0.2.0, 4.2.0.3.0, 4.3.0.1.0 – 4.3.0.6.0, 4.4.0.0.0.
  • El CVE-2020-11973, afecta al componente Apache Camel de Oracle Communications Diameter Signaling Router (DSR) en versiones IDIH: 8.0.0-8.2.2; y Oracle FLEXCUBE Private Banking en versiones 12.0.0, 12.1.0. Este fallo se da debido a que dicho componente tiene habilitada por defecto la deserialización de Java.
  • El CVE-2017-9800, afecta al componente Apache HTTP Server de Oracle Data Integrator versión 12.2.1.3.0.
  • El CVE-2020-1953, afecta al componente Apache Commons Configuration de Oracle Healthcare Foundation en versiones 7.1.1, 7.2.0, 7.2.1, 7.3.0; y se da debido a que el componente utiliza una librería de terceros para el análisis de archivos YAML, la cual por defecto permite instanciar clases si el archivo YAML incluye declaraciones especiales.
  • Finalmente, el CVE-2016-1000031, afecta al componente Apache Commons File Upload de Siebel Apps – Marketing versión 20.7

Por otro lado, fallos que permitirían a un atacante remoto no autenticado eludir mecanismos de protección:

  • El CVE-2017-7658, afecta al componente Eclipse Jetty de Oracle REST Data Services en versiones: 11.2.0.4, 12.1.0.2, 12.2.0.1 y 18c. Este fallo se da debido a una interpretación inconsistente de solicitudes HTTP.
  • El CVE-2018-11058, afecta al componente RSA BSAFE Crypto-C de los siguientes productos:
    • Oracle TimesTen In-Memory Database en versiones anteriores a la 18.1.4.1.0;
    • Oracle Application Testing Suite version 13.3.0.1;
    • Oracle Access Manager version 11.1.2.3.0;
    • Oracle GoldenGate Application Adapters version 12.3.2.1.0;
    • PeopleSoft Enterprise PeopleTools en versiones 8.56, 8.57 y 8.58.
  • El CVE-2018-8088, afecta al componente SLF4J de Oracle GoldenGate Application Adapters en versiones 12.3.2.1.0.

Vulnerabilidades que permitirían a un atacante remoto no autenticado y con acceso a la red comprometer el producto afectado:

  • El CVE-2020-2555, afecta al componente Oracle Coherence de los siguientes productos:
    • Oracle Communications Diameter Signaling Router (DSR) en versiones IDIH: 8.0.0-8.2.2;
    • Oracle WebCenter Portal, en versiones 12.2.1.3.0 y 12.2.1.4.0;
    • Oracle Healthcare Data Repository version 7.0.1.
  • Mientras que el CVE-2019-2904, afecta al framework de desarrollo de aplicaciones de los siguientes productos:
    • Oracle Communications Diameter Signaling Router (DSR), en versiones 8.0.0.0-8.4.0.5;
    • Oracle Enterprise Repository version 11.1.1.7.0;
    • Oracle Business Process Management Suite, en versiones 12.2.1.3.0 y 12.2.1.4.0.
  • El CVE-2020-14855, afecta al componente Work Provider Administration de Oracle Universal Work Queue versión 12.1.3.
  • El CVE-2020-14882, afecta a la consola de Oracle WebLogic Server en versiones 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0;
  • Los CVE-2020-14841CVE-2020-14825 y CVE-2020-14859, afectan al núcleo de Oracle WebLogic Server en versiones 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0.
  • El CVE-2020-14871, afecta al componente Pluggable authentication module de Oracle Solaris en versiones 10, 11.

El CVE-2019-12260, trata de una vulnerabilidad de tipo Improper Restriction of Operations within the Bounds of a Memory Buffer, que afecta al componente Wind River VxWorks deracle Communications EAGLE Software O en versiones 46.6.0-46.8.2. La explotación exitosa permitiría a un atacante remoto no autenticado realizar ataques de denegación de servicios (DoS) o ejecutar código arbitrario en el sistema afectado.

El CVE-2020-11984, afecta al componente Apache HTTP Server de los siguientes productos:

  • Oracle Communications Element Manager en versiones 8.2.0-8.2.2;Session Report Manager en versiones 8.2.0-8.2.2;Session Route Manager, en versiones 8.2.0-8.2.2;
  • Instantis EnterpriseTrack en versiones 17.1, 17.2 y 17.3.

La explotación exitosa de este fallo permitiría a un atacante remoto no autenticado obtener información potencialmente útil para realizar posteriores ataques.

Vulnerabilidades de XXE (XML External Entity). Las cuales podrían permitir a un atacante obtener datos confidenciales, realizar ataques de denegación de servicio (DoS), falsificar solicitudes del lado del servidor, escanear puertos, y ejecutar código remoto en el sistema afectado:

  • El CVE-2019-13990, afecta al componente Quartz Scheduler de Oracle Communications Session Route Manager en versiones 8.2.0-8.2.2 y Enterprise Manager Ops Center version 12.4.0.0.
  • El CVE-2020-10683, afecta al componente dom4j de los siguientes productos:
    • Oracle Communications Unified Inventory Management en versiones 7.3.0 y 7.4.0; Session Controller version 3.9m0p1; Diameter Signaling Router (DSR) en versiones IDIH: 8.0.0-8.2.2;
    • Oracle Banking Platform en versiones 2.4.0-2.10.0;
    • Oracle Financial Services Analytical Applications Infrastructure en versiones 8.0.6-8.1.0
    • Oracle Endeca Information Discovery Integrator version 3.2.0;
    • Oracle WebCenter Portal en versiones 12.2.1.3.0 y 12.2.1.4.0;
    • Oracle Health Sciences Empirica Signal version 9.0;
    • Oracle Retail Order Broker en versiones 15.0, 16.0, 18.0, 19.0 y 19.1;Price Management en versiones 14.0.4, 14.1.3.0, 15.0.3.0 y 16.0.3.0;
    • Oracle Agile PLM en versiones 9.3.3, 9.3.5;
    • Oracle Utilities Framework en versiones 2.2.0.0.0, 4.2.0.2.0, 4.2.0.3.0, 4.3.0.1.0 – 4.3.0.6.0, 4.4.0.0.0 y 4.4.0.2.0.

El CVE-2019-17495, trata de una vulnerabilidad de CSS Injection que afecta al componente Swagger UI de Primavera Gateway en versiones 16.2.0-16.2.11, 17.12.0-17.12.8 y Oracle Banking Platform en versiones 2.4.0-2.10.0. La explotación exitosa de este fallo permitiría a un atacante remoto no autenticado exfiltrar datos confidenciales, como el valor del token CSRF.

El CVE-2020-9546, trata de una vulnerabilidad de tipo Deserialization of Untrusted Data que afecta al componente jackson-databind de los siguientes productos:

  • Oracle Financial Services Analytical Applications Infrastructure, en versiones 8.0.6-8.1.0; Institutional Performance Analytics, en versiones 8.0.6, 8.7.0, 8.1.0; Price Creation and Discovery, en versiones 8.0.6, 8.0.7; Retail Customer Analytics version 8.0.6;
  • Oracle Insurance Policy Administration J2EE, en versiones 11.0.2.25, 11.1.0.15;
  • Oracle Retail Service Backbone, en versiones 14.1, 15.0, 16.0;

La explotación exitosa de este fallo permitiría a un atacante remoto no autenticado realizar ataques de denegación de servicios (DoS) o modificar datos de la aplicación afectada.

El CVE-2019-17531, trata de una vulnerabilidad de tipo Polymorphic Typing, que afecta al componente jackson-databind de Oracle GoldenGate Application Adapters version 19.1.0.0.0 y permitiría a un atacante remoto no autenticado ejecutar payloads maliciosos.

El CVE-2019-5482, trata de una vulnerabilidad de Heap buffer overflow que afecta al componente cURL de Oracle HTTP Server en versiones 12.2.1.3.0, 12.2.1.4.0 y Hyperion Essbase versión 11.1.2.4. La explotación exitosa permitiría a un atacante remoto no autenticado realizar ataques de denegación de servicios (DoS) o ejecutar código arbitrario.

El CVE-2020-8174, afecta al componente Node.js de MySQL Cluster en versiones 7.3.30 y anteriores, 7.4.29 y anteriores, 7.5.19 y anteriores, 7.6.15 y anteriores, 8.0.21 y anteriores. La explotación exitosa de este fallo permitiría a un atacante remoto no autenticado corromper la memoria.

Además, fueron abordadas también múltiples vulnerabilidades de riesgo alto, algunas de las más resaltantes son:

Fallos que permitirían a un atacante remoto realizar ataques de denegación de servicios (DoS) en Oracle Database Server (CVE-2019-12900), Oracle Communications Billing and Revenue Management (CVE-2020-10878), MySQL Enterprise Monitor (CVE-2020-13935). Vulnerabilidades que permitirían a un atacante comprometer MySQL Server (CVE-2020-14878) y Oracle VM VirtualBox (CVE-2020-14872).

Más detalles sobre todas las vulnerabilidades abordadas pueden ser visualizados en el boletín de seguridad publicado por Oracle.

Recomendaciones:

  • Aplicar las actualizaciones de seguridad para los productos afectados, desde el apartado “Patch Availability Document” del boletín de seguridad publicado por Oracle.

Referencias:

Compartir: