Actualización de seguridad para Oracle

Se ha reportado un nuevo aviso de seguridad sobre múltiples vulnerabilidades que afectan a Oracle, que permitirían a un atacante obtener acceso no autorizado a información confidencial, incluyendo su modificación y eliminación, así como denegación de servicios (DoS).

Las vulnerabilidades reportadas se componen de 49 (cuarenta y nueve) de severidad “crítica”, 135 (ciento treinta y cinco) de severidad “Alta”, 163 (ciento sesenta y tres) de severidad “Media” y 7 (siete) de severidad “Baja”. Las principales se detallan a continuación:

CVE-2022-23218, de severidad “crítica”, con una puntuación asignada de 9.8. Esta vulnerabilidad se debe a una falla en el módulo sunrpc de la Biblioteca C de GNU. Esto permitiría a un atacante realizar denegación de servicios (DoS) y ejecución remota de código (RCE) en el sistema afectado.

CVE-2021-43527, de severidad “crítica”, con una puntuación asignada de 9.8. Esta vulnerabilidad se debe a un desbordamiento de buffer del montón cuando se manejan firmas DSA o RSA-PSS codificadas en DER. Esto permitiría a un atacante realizar ejecución remota de código (RCE) en el sistema afectado.

CVE-2022-22978, de severidad “crítica” con una puntuación asignada de 9.8. Esta vulnerabilidad se debe a una incorrecta configuración en el parámetro RegexRequestMatcher de Spring Security. Esto permitiría a un atacante realizar evasión de autorización en el sistema afectado.

Puede acceder a la lista completa de vulnerabilidades en el siguiente enlace.

Algunos productos afectados son:

Oracle Essbase, versión 21.3
Oracle Secure Backup, versiones anteriores a 18.1.0.2.0.
Oracle Communications Messaging Server, versión 8.1
Oracle Communications Order and Service Management, versiones 7.3 y 7.4

Puede acceder a la lista completa de las versiones afectadas en el siguiente enlace.

Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante en el siguiente enlace:

https://support.oracle.com/portal/

Referencias: 