Se ha reportado un nuevo aviso de seguridad sobre múltiples vulnerabilidades que afectan a productos de Oracle, que permitirían a un atacante realizar denegación de servicios (DoS), obtener acceso no autorizado, entre otros.
Oracle ha reportado un total de 433 vulnerabilidades en su actualización de seguridad de abril. Las principales se detallan a continuación:
- CVE-2023-25690 y CVE-2023-25613, ambas de severidad “Crítica”, con puntuación asignada de 9.8. Estas vulnerabilidades del tipo HTTP request smuggling e inyección LDAP se deben a una falla de control de acceso en el componente mod_proxy del servidor web Apache de Oracle Communications Element Manager y en el componente Apache Kerby de Oracle Communications Cloud Native Configuration Console de Oracle Communications. Esto permitiría a un atacante no autenticado con acceso de red a través del envío de solicitudes HTTP especialmente diseñadas, obtener acceso no autorizado e incluso control total de los productos afectados.
- CVE-2023-1370, de severidad “Alta”, con puntuación de 7.5. Esta vulnerabilidad se debe a una falla de gestión de memoria en el componente json-smart de Oracle Communications Unified Assurance de Oracle Communications Applications. Esto permitiría a un atacante no autenticado con acceso de red a través del envío de solicitudes HTTPS especialmente diseñados, provocar denegación de servicio (DoS) en el producto afectado.
Para acceder al listado completo de vulnerabilidades ingrese aquí.
Algunos productos afectados son:
- Oracle Communications Element Manager, versiones 9.0.0 y 9.0.1.
- Oracle Communications Cloud Native Configuration Console, versiones 22.4.1 y 23.1.0.
- Oracle Communications Unified Assurance, versiones 5.5.0 a 5.5.10 y 6.0.0 a 6.0.2.
- MySQL Server de Oracle MySQL, versión 5.7.41 y anteriores, versión 8.0.30 y anteriores.
Puede acceder a la lista completa de los productos afectados en el siguiente enlace.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, acorde a la tecnología afectada indicada en el siguiente enlace:
Referencias:
- https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/actualizaciones-criticas-oracle-abril-2023
- https://nvd.nist.gov/vuln/detail/CVE-2023-25690
- https://nvd.nist.gov/vuln/detail/CVE-2023-25613
- https://nvd.nist.gov/vuln/detail/CVE-2023-1370
- https://www.oracle.com/security-alerts/cpuapr2023.html
- https://www.oracle.com/security-alerts/cpuapr2023verbose.html
- https://support.oracle.com/rs?type=doc&id=2921644.1