Actualizaciones de seguridad de Oracle de julio de 2022 

Se ha publicado un nuevo aviso de seguridad del mes de julio de 2022 para corregir múltiples vulnerabilidades que afectan a varios productos de Oracle, que permitirían a un atacante obtener acceso sin privilegios a la red, realizar ejecución remota de código (RCE), entre otros. 

Oracle ha reportado un total de 349 vulnerabilidades en el Aviso de actualización de parches críticos de Oracle – julio de 2022. Las principales se detallan a continuación: 

• CVE-2022-22947, de severidad “Crítica” y puntuación asignada de 10.0. Esta vulnerabilidad se debe a una falla en el Gateway Actuator endpoint. Un atacante remoto podría enviar una solicitud especialmente diseñada y realizar ejecución remota de código (RCE) en el sistema afectado. 

• CVE-2022-23305, de severidad “Crítica” y puntuación asignada de 9.8. Esta vulnerabilidad se debe a una falla en JDBCAppender en Log4j 1.2.x. Un atacante podría manipular la consulta SQL introduciendo cadenas especialmente diseñadas y ejecutar consultas SQL no deseadas. 

• CVE-2022-22965, de severidad “Crítica” y puntuación asignada de 9.8. Esta vulnerabilidad se debe a un error en la aplicación Spring MVC o Spring WebFlux. Un atacante podría realizar ejecución remota de código (RCE) a través del enlace de datos del sistema. 

Puede acceder a la lista completa de vulnerabilidades aquí. 

Algunos productos afectados de Oracle son: 

• Autonomous Health Framework. 
• Big Data Spatial y Graph, versiones anteriores a 23.1. 
• Enterprise Manager Base Platform, versiones 13.4.0.0 y 13.5.0.0. 
• Enterprise Manager para MySQL Database. 
• Enterprise Manager Ops Center, versión 12.4.0.0. 
• JD Edwards EnterpriseOne Orchestrator, versiones 9.2.6.3 y versiones anteriores. 
• JD Edwards EnterpriseOne Tools, versiones 9.2.6.3 y versiones anteriores. 
• MySQL Cluster, versiones 7.4.36 y versiones anteriores. 
• MySQL Cluster, versiones 7.5.26 y versiones anteriores. 
• MySQL Cluster, versiones 7.6.22 y versiones anteriores. 
• MySQL Cluster, versiones 8.0.29 y versiones anteriores.  
• MySQL Cluster 8.0.29 y versiones anteriores. 

Puede acceder al listado completo de productos afectados aquí. 

Recomendamos instalar las actualizaciones correspondientes provistas por Oracle, mencionadas en el siguiente enlace: 

• Oracle Critical Patch Update Advisory – July 2022 

Referencias: 

• https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/actualizaciones-criticas-oracle-julio-2022 
• https://www.securityweek.com/oracle-releases-349-new-security-patches-july-2022-cpu  
• https://nvd.nist.gov/vuln/detail/CVE-2022-22947 
• https://nvd.nist.gov/vuln/detail/CVE-2022-23305 
• https://nvd.nist.gov/vuln/detail/cve-2022-22965 
• https://www.oracle.com/security-alerts/cpujul2022.html