Múltiples vulnerabilidades en productos Oracle

Oracle ha lanzado actualizaciones de seguridad con soluciones a 497 vulnerabilidades de varios productos destacados y advirtió que actores malintencionados podrían explotar estos errores para realizar ejecución remota de código (RCE), desbordamiento de búfer, entre otros.

Se destacan las vulnerabilidades más relevantes de algunos de los productos más utilizados de Oracle, que son CVE-2020-14756CVE-2021-22931 y CVE-2021-3177, las tres de severidad “Crítica” que se detallan a continuación:

  • CVE-2020-14756 de severidad crítica, con una puntuación de 9.8. Esta vulnerabilidad se encuentra relacionada a una función desconocida del componente Core Components de Oracle Utilities Framework. Un atacante podría realizar ejecución remota de código (RCE) en el sistema afectado.
  • CVE-2021-22931 de severidad crítica, con una puntuación de 9.8. Esta vulnerabilidad se relaciona a una función desconocida del componente Domain Name Server Handler en PeopleSoft Enterprise PeopleTools, mediante un input desconocido que podría ocasionar desbordamiento de búfer. Un atacante podría provocar denegación de servicio (DoS) en el sistema afectado.
  • CVE-2021-3177 de severidad crítica, con una puntuación de 9.8. Esta vulnerabilidad se debe a un fallo en la función PyCArg_repr del archivo _ctypes/callproc.c en Oracle Enterprise Manager Ops Centermediante la manipulación del parámetro c_double.from_param con un input desconocido que podría ocasionar desbordamiento de búfer. Un atacante podría provocar denegación de servicio (DoS) en el sistema afectado.

Se puede acceder al listado completo de las vulnerabilidades subsanadas aquí.

Estos son algunos los productos de Oracle afectados por las vulnerabilidades:

  • Agile Product Lifecycle Management Integration Pack para Oracle E-Business Suite, versión 3.6.
  • Application Performance Management, versiones 13.4.1.0 y 13.5.1.0.
  • Big Data Spatial and Graph, versiones anteriores a 23.1.
  • Enterprise Manager Base Platform, versiones 13.4.0.0 y 13.5.0.0.
  • Enterprise Manager Ops Center, versión 12.4.0.0.
  • Fujitsu M10-1, M10-4, M10-4S, M12-1, M12-2, M12-2S Servers, versiones anteriores a XCP2410, y XCP3110.
  • Instantis EnterpriseTrack, versiones 17.1, 17.2 y 17.3.
  • JD Edwards EnterpriseOne Tools, versiones anteriores a 9.2.6.1.
  • MySQL Cluster, versiones 7.4.34 y anteriores, 7.5.24 y anteriores, 7.6.20 y anteriores, 8.0.27 y anteriores.
  • MySQL Connectors, versiones 8.0.27 y anteriores.
  • MySQL Server, versiones 5.7.36 y anteriores, 8.0.27 y anteriores.
  • MySQL Workbench, versiones 8.0.27 y anteriores.
  • Oracle Access Manager, versiones 11.1.2.3.0, 12.2.1.3.0 y 12.2.1.4.0.
  • Oracle Agile Engineering Data Management, versión 6.2.1.0.
  • Oracle Agile PLM, versiones 9.3.3 y 9.3.6.
  • Oracle Agile PLM MCAD Connector, versiones 3.4 y 3.6.
  • Oracle Airlines Data Model, versiones 12.1.1.0.0 y 12.2.0.1.0.
  • Oracle Application Express, versiones anteriores a 21.1.4.
  • Oracle Application Testing Suite, versión 13.3.0.1.
  • Oracle Argus Analytics, versiones 8.2.1, 8.2.2 y 8.2.3.
  • Oracle Argus Insight, versiones 8.2.1, 8.2.2 y 8.2.3.
  • Oracle Argus Mart, versiones 8.2.1, 8.2.2 y 8.2.3.
  • Oracle Argus Safety, versiones 8.2.1, 8.2.2 y 8.2.3.
  • Oracle Banking APIs, versiones 18.1-18.3, 19.1, 19.2, 20.1 y 21.1.
  • Oracle Banking Deposits and Lines of Credit Servicing, versión 2.12.0.
  • Oracle Banking Digital Experience, versiones 17.2, 18.1-18.3, 19.1, 19.2, 20.1 y 21.1.
  • Oracle Banking Enterprise Default Management, versiones 2.3.0-2.4.1, 2.6.2, 2.7.0, 2.7.1, 2.10.0 y 2.12.0.
  • Oracle Banking Loans Servicing, versión 2.12.0.
  • Oracle Banking Party Management, versión 2.7.0.
  • Oracle Banking Platform, versiones 2.3.0-2.4.1, 2.6.2, 2.7.0 y 2.7.1.

Oracle BI Publisher, versiones 5.5.0.0.0, 11.1.1.9.0, 12.2.1.3.0 y 12.2.1.4.0.

Para un listado más detallado de los productos afectados puede acceder al siguiente enlace.

Recomendamos instalar las actualizaciones correspondientes provistas por Oracle, mencionadas en el siguiente enlace:

Referencias:

Compartir: