Se ha reportado un nuevo aviso de seguridad sobre múltiples vulnerabilidades que afectan a Oracle, que permitirían a un atacante obtener acceso no autorizado a información confidencial, incluyendo su modificación y eliminación, así como denegación de servicios (DoS).
Las vulnerabilidades reportadas se componen de 49 (cuarenta y nueve) de severidad “crítica”, 135 (ciento treinta y cinco) de severidad “Alta”, 163 (ciento sesenta y tres) de severidad “Media” y 7 (siete) de severidad “Baja”. Las principales se detallan a continuación:
- CVE-2022-23218, de severidad “crítica”, con una puntuación asignada de 9.8. Esta vulnerabilidad se debe a una falla en el módulo sunrpc de la Biblioteca C de GNU. Esto permitiría a un atacante realizar denegación de servicios (DoS) y ejecución remota de código (RCE) en el sistema afectado.
- CVE-2021-43527, de severidad “crítica”, con una puntuación asignada de 9.8. Esta vulnerabilidad se debe a un desbordamiento de buffer del montón cuando se manejan firmas DSA o RSA-PSS codificadas en DER. Esto permitiría a un atacante realizar ejecución remota de código (RCE) en el sistema afectado.
- CVE-2022-22978, de severidad “crítica” con una puntuación asignada de 9.8. Esta vulnerabilidad se debe a una incorrecta configuración en el parámetro RegexRequestMatcher de Spring Security. Esto permitiría a un atacante realizar evasión de autorización en el sistema afectado.
Puede acceder a la lista completa de vulnerabilidades en el siguiente enlace.
Algunos productos afectados son:
- Oracle Essbase, versión 21.3
- Oracle Secure Backup, versiones anteriores a 18.1.0.2.0.
- Oracle Communications Messaging Server, versión 8.1
- Oracle Communications Order and Service Management, versiones 7.3 y 7.4
Puede acceder a la lista completa de las versiones afectadas en el siguiente enlace.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante en el siguiente enlace:
Referencias:
- https://www.securityweek.com/oracle-releases-370-new-security-patches-october-2022-cpu
- https://www.oracle.com/security-alerts/cpuoct2022.html
- https://nvd.nist.gov/vuln/detail/CVE-2022-23218
- https://nvd.nist.gov/vuln/detail/CVE-2021-43527
- https://nvd.nist.gov/vuln/detail/CVE-2022-22978
- https://support.oracle.com/portal/