Cabecera-v2-web.jpg

Actualizaciones de seguridad de Oracle de abril de 2022


22/04/2022

Oracle ha lanzado actualizaciones de seguridad sobre 520 vulnerabilidades que afectan a múltiples productos, y que entre ellas permitirían a un atacante obtener el privilegio de crear cualquier procedimiento con acceso a la red a través de Oracle Net.


Las vulnerabilidades reportadas se componen de 520 (quinientas veinte), de las cuales se destacan varias críticas. Las principales se detallan a continuación:

  • CVE-2022-22947 de severidad crítica, con una puntuación asignada de 10.0. Esta vulnerabilidad se debe a las versiones anteriores a 3.1.1 y 3.0.7 del producto Spring Cloud Gateway, cuando Gateway Actuator endpoint se encuenta habilitado, expuesta e inseguro son vulnerables a los ataques de inyección de código. Esta vulnerabilidad podría ser explotada por un atacante remoto para realizar una solicitud creada con fines malintencionados que podría permitir la ejecución remota arbitraria en el host remoto.
  • CVE-2022-21420 de severidad crítica, con una puntuación asignada de 9.8. Esta vulnerabilidad afecta a las versiones 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.0 del producto Oracle Coherence. Esta vulnerabilidad podría ser explotada por un atacante no autenticado, con acceso a la a la red a través de T3 comprometa Oracle Coherence, obteniendo así su control total.
  • CVE-2022-23305 de severidad alta, con una puntuación de 9.8. Esta vulnerabilidad se debe a un error en el diseño de jdBCAppender en Log4j 1.2.x ya que, esta acepta una instrucción SQL como parámetro de configuración donde los valores a ser insertados deberían ser convertidores de PatternLayout. Esta vulnerabilidad permitiría a un atacante ejecutar consultas SQL no deseadas.

Para visualizar una lista detallada de las vulnerabilidades subsanadas, ingresar a este enlace.

Algunos de los productos afectados de Oracle son:

  • Engineered Systems Utilities, versiones 12.1.0.2, 19c y 21c.
  • Enterprise Manager Base Platform, versiones 13.4.0.0 y 13.5.0.0.
  • Oracle Advanced Supply Chain Planning, versiones 12.1, 12.2.
  • MySQL Cluster, versiones 7.4.35 y anteriores, 7.5.25 y anteriores, 7.6.21 y anteriores y 8.0.28 y anteriores;
  • Oracle Coherence, versiones 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.0;

Puede visualizar la lista de todos los productos afectados en el siguiente enlace:

Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, según el producto afectado. Para descargar las actualizaciones puede consultar el boletín de seguridad publicado por Oracle.

Referencias:


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11