Se ha publicado un nuevo aviso de seguridad del mes de julio de 2022 para corregir múltiples vulnerabilidades que afectan a varios productos de Oracle, que permitirían a un atacante obtener acceso sin privilegios a la red, realizar ejecución remota de código (RCE), entre otros.
Oracle ha reportado un total de 349 vulnerabilidades en el Aviso de actualización de parches críticos de Oracle – julio de 2022. Las principales se detallan a continuación:
- CVE-2022-22947, de severidad “Crítica” y puntuación asignada de 10.0. Esta vulnerabilidad se debe a una falla en el Gateway Actuator endpoint. Un atacante remoto podría enviar una solicitud especialmente diseñada y realizar ejecución remota de código (RCE) en el sistema afectado.
- CVE-2022-23305, de severidad “Crítica” y puntuación asignada de 9.8. Esta vulnerabilidad se debe a una falla en JDBCAppender en Log4j 1.2.x. Un atacante podría manipular la consulta SQL introduciendo cadenas especialmente diseñadas y ejecutar consultas SQL no deseadas.
- CVE-2022-22965, de severidad “Crítica” y puntuación asignada de 9.8. Esta vulnerabilidad se debe a un error en la aplicación Spring MVC o Spring WebFlux. Un atacante podría realizar ejecución remota de código (RCE) a través del enlace de datos del sistema.
Puede acceder a la lista completa de vulnerabilidades aquí.
Algunos productos afectados de Oracle son:
- Autonomous Health Framework.
- Big Data Spatial y Graph, versiones anteriores a 23.1.
- Enterprise Manager Base Platform, versiones 13.4.0.0 y 13.5.0.0.
- Enterprise Manager para MySQL Database.
- Enterprise Manager Ops Center, versión 12.4.0.0.
- JD Edwards EnterpriseOne Orchestrator, versiones 9.2.6.3 y versiones anteriores.
- JD Edwards EnterpriseOne Tools, versiones 9.2.6.3 y versiones anteriores.
- MySQL Cluster, versiones 7.4.36 y versiones anteriores.
- MySQL Cluster, versiones 7.5.26 y versiones anteriores.
- MySQL Cluster, versiones 7.6.22 y versiones anteriores.
- MySQL Cluster, versiones 8.0.29 y versiones anteriores.
- MySQL Cluster 8.0.29 y versiones anteriores.
Puede acceder al listado completo de productos afectados aquí.
Recomendamos instalar las actualizaciones correspondientes provistas por Oracle, mencionadas en el siguiente enlace:
Referencias:
- https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/actualizaciones-criticas-oracle-julio-2022
- https://www.securityweek.com/oracle-releases-349-new-security-patches-july-2022-cpu
- https://nvd.nist.gov/vuln/detail/CVE-2022-22947
- https://nvd.nist.gov/vuln/detail/CVE-2022-23305
- https://nvd.nist.gov/vuln/detail/cve-2022-22965
- https://www.oracle.com/security-alerts/cpujul2022.html