Publicado el por Seguridad CSIRT-CV

Actualizaciones críticas en Oracle

Oracle ha publicado una actualización crítica con parches para corregir vulnerabilidades, que afectan a múltiples productos.

Análisis

Esta actualización resuelve 334 vulnerabilidades, algunas de las cuales son críticas divididas de la siguiente manera:

6 para Oracle Database Products,
3 para Oracle Application Express,
7 para Oracle Blockchain Platform,
1 para Oracle Essbase,
4 para Oracle GoldenGate,
1 para Oracle NoSQL Database,
2 para Oracle Secure Backup,
1 para Oracle SQL Developer.

Recursos afectados

    • Autonomous Health Framework, versiones anteriores a 24.9;
    • GoldenGate Stream Analytics, versiones 19.1.0.0.0-19.1.0.0.9;
    • Management Cloud Engine, versión 24.1.0.0.0;
    • MySQL Client, versiones 8.0.39 y anteriores, 8.4.2 y anteriores, 9.0.1 y anteriores;
    • MySQL Cluster, versiones 7.5.35 y anteriores, 7.6.31 y anteriores, 8.0.39 y anteriores, 8.4.2 y anteriores, 9.0.1 y anteriores;
    • MySQL Connectors, versiones 9.0.0 y anteriores;
    • MySQL Enterprise Backup, versiones 8.0.39 y anteriores, 8.4.2 y anteriores, 9.0.1 y anteriores;
    • MySQL Enterprise Monitor, versiones 8.0.39 y anteriores;
    • MySQL Server, versiones 8.0.39 y anteriores, 8.4.2 y anteriores, 9.0.1 y anteriores;
    • MySQL Shell, versiones 8.0.38 y anteriores, 8.4.1 y anteriores, 9.0.1 y anteriores;
    • MySQL Workbench, versiones 8.0.38 y anteriores;
    • Oracle Access Manager, versión 12.2.1.4.0;
    • Oracle Agile PLM, versión 9.3.6;
    • Oracle Application Express, versiones 23.1, 23.2, 24.1;
    • Oracle Application Testing Suite, versión 13.3.0.1;
    • Oracle Autovue for Agile Product Lifecycle Management, versión 21.1.0;
    • Oracle Banking APIs, versiones 19.2.0.0.0, 21.1.0.0.0, 22.1.0.0.0, 22.2.0.0.0;
    • Oracle Banking Cash Management, versiones 14.7.4.0.0, 14.7.5.0.0;
    • Oracle Banking Corporate Lending Process Management, versiones 14.4.0.0.0, 14.5.0.0.0, 14.6.0.0.0, 14.7.0.0.0;
    • Oracle Banking Digital Experience, versiones 19.2.0.0.0, 21.1.0.0.0, 22.1.0.0.0, 22.2.0.0.0;
    • Oracle Banking Liquidity Management, versiones 14.5.0.12.0, 14.7.0.6.0, 14.7.4.0.0, 14.7.5.0.0;
    • Oracle Banking Supply Chain Finance, versiones 14.7.4.0.0, 14.7.5.0.0;
    • Oracle BI Publisher, versiones 7.0.0.0.0, 7.6.0.0.0, 12.2.1.4.0;
    • Oracle Blockchain Platform, versión 21.1.2;
    • Oracle Business Activity Monitoring, versión 12.2.1.4.0;
    • Oracle Business Intelligence Enterprise Edition, versiones 7.0.0.0.0, 7.6.0.0.0, 12.2.1.4.0;
    • Oracle Business Process Management Suite, versión 12.2.1.4.0;
    • Oracle Commerce Guided Search, versiones 11.3.2, 11.4.0;
    • Oracle Commerce Platform, versiones 11.3.0, 11.3.1, 11.3.2;
    • Oracle Communications ASAP, versión 7.4.3.0.2;
    • Oracle Communications Cloud Native Core Automated Test Suite, versiones 23.4.3, 23.4.4, 24.1.1, 24.2.2;
    • Oracle Communications Cloud Native Core Binding Support Function, versiones 23.4.0-23.4.5;
    • Oracle Communications Cloud Native Core Certificate Management, versiones 23.4.2, 23.4.3, 24.2.0;
    • Oracle Communications Cloud Native Core Console, versiones 23.4.2, 24.2.0;
    • Oracle Communications Cloud Native Core DBTier, versiones 24.1.0, 24.2.0;
    • Oracle Communications Cloud Native Core Network Function Cloud Native Environment, versiones 23.4.0, 24.1.0-24.2.0;
    • Oracle Communications Cloud Native Core Network Repository Function, versiones 23.4.4, 24.2.1;
    • Oracle Communications Cloud Native Core Network Slice Selection Function, versiones 24.2.0, 24.2.1;
    • Oracle Communications Cloud Native Core Policy, versiones 23.4.0-23.4.6;
    • Oracle Communications Cloud Native Core Security Edge Protection Proxy, versiones 23.4.2, 24.2.0;
    • Oracle Communications Cloud Native Core Service Communication Proxy, versiones 23.4.0, 24.1.0, 24.2.0;
    • Oracle Communications Cloud Native Core Unified Data Repository, versión 24.2.0;
    • Oracle Communications Convergent Charging Controller, versiones 6.0.1.0.0, 12.0.1.0.0-12.0.6.0.0, 15.0.0.0.0;
    • Oracle Communications Core Session Manager, versión 9.1.5;
    • Oracle Communications EAGLE Application Processor, versión 17.0.1;
    • Oracle Communications IP Service Activator, versiones 7.4.0, 7.5.0;
    • Oracle Communications LSMS, versión 14.0.0.1;
    • Oracle Communications Messaging Server, versión 8.1;
    • Oracle Communications Network Analytics Data Director, versiones 23.4.0, 24.1.0, 24.2.0;
    • Oracle Communications Network Charging and Control, versiones 6.0.1.0.0, 12.0.1.0.0-12.0.6.0.0, 15.0.0.0.0;
    • Oracle Communications Operations Monitor, versiones 5.1, 5.2;
    • Oracle Communications Order and Service Management, versiones 7.4.0, 7.4.1, 7.5.0;
    • Oracle Communications Performance Intelligence Center, versiones anteriores a 10.4.0.4;
    • Oracle Communications Policy Management, versiones 12.6.1.0.0, 15.0.0.0.0;
    • Oracle Communications Session Border Controller, versiones 9.1.0, 9.2.0, 9.3.0;
    • Oracle Communications Unified Assurance, versiones 5.5.0-5.5.22, 6.0.0-6.0.5;
    • Oracle Communications User Data Repository, versiones 12.11.0, 14.0;
    • Oracle Data Integrator, versión 12.2.1.4.0;
    • Oracle Database Server, versiones 19.3-19.24, 21.3-21.15, 23.4-23.5;
    • Oracle E-Business Suite, versiones 12.2.3-12.2.14, [ECC] 11-13;
    • Oracle Enterprise Communications Broker, versiones 4.1.0, 4.2.0;
    • Oracle Enterprise Data Quality, versión 12.2.1.4.0;
    • Oracle Enterprise Manager Base Platform, versiones 12.2.1.4.0, 13.5.0.0;
    • Oracle Enterprise Manager for Fusion Middleware, versión 12.2.1.4.0;
    • Oracle Enterprise Manager for Peoplesoft, versión 13.5.1.1.0;
    • Oracle Enterprise Manager Fusion Middleware Control, versión 12.2.1.4.0;
    • Oracle Enterprise Operations Monitor, versiones 5.1, 5.2;
    • Oracle Essbase, versión 21.6;
    • Oracle Financial Services Compliance Studio, versiones 8.1.2.7, 8.1.2.8;
    • Oracle Financial Services Revenue Management and Billing, versiones 3.0.0.0.0, 4.0.0.0.0, 5.0.0.0.0;
    • Oracle Global Lifecycle Management FMW Installer, versión 12.2.1.4.0;
    • Oracle GoldenGate Big Data and Application Adapters, versiones 19.1.0.0.0-19.1.0.0.9;
    • Oracle GraalVM Enterprise Edition, versiones 20.3.15, 21.3.11;
    • Oracle GraalVM for JDK, versiones 17.0.12, 21.0.4, 23;
    • Oracle Graph Server and Client, versiones 23.4.3, 24.3.0;
    • Oracle Hospitality Cruise Shipboard Property Management System, versión 23.1.3;
    • Oracle Hospitality OPERA 5, versiones 5.6.19.19, 5.6.25.8, 5.6.26.4;
    • Oracle Hospitality Simphony, versiones 19.1.0-19.6.2;
    • Oracle HTTP Server, versiones 12.2.1.4.0, 14.1.1.0.0;
    • Oracle Hyperion BI+, versión 11.2.18.0.0;
    • Oracle Hyperion Financial Management, versión 11.2.18.0.0;
    • Oracle Hyperion Infrastructure Technology, versión 11.2.18.0.0;
    • Oracle Identity Manager Connector, versiones 11.1.1.5.0, 12.2.1.3.0;
    • Oracle Java SE, versiones 8u421, 8u421-perf, 11.0.24, 17.0.12, 21.0.4, 23;
    • Oracle Managed File Transfer, versión 12.2.1.4.0;
    • Oracle Middleware Common Libraries and Tools, versión 12.2.1.4.0;
    • Oracle NoSQL Database, versiones 1.5.0, 20.3.40, 21.2.71, 22.3.45, 23.3.33, 24.1.17;
    • Oracle Outside In Technology, versión 8.5.7;
    • Oracle Retail Customer Management and Segmentation Foundation, versión 19.0.0.10;
    • Oracle Retail EFTLink, versiones 20.0.1, 21.0.0, 22.0.0, 23.0.0;
    • Oracle SD-WAN Aware, versión 9.0.1.10.0;
    • Oracle SD-WAN Edge, versiones 9.1.1.3.0, 9.1.1.5.0-9.1.1.8.0, 9.1.1.9.0;
    • Oracle Secure Backup, versiones 18.1.0.1.0, 18.1.0.2.0, 19.1.0.0.0;
    • Oracle Service Bus, versión 12.2.1.4.0;
    • Oracle Solaris Cluster, versión 4;
    • Oracle SQL Developer, versiones 23.1.0, 24.3.0;
    • Oracle Utilities Application Framework, versiones 4.0.0.0.0, 4.0.0.2.0, 4.0.0.3.0, 4.3.0.3.0-4.3.0.6.0, 4.5.0.0.0;
    • Oracle Utilities Network Management System, versiones 2.3.0.2.34, 2.4.0.1.25, 2.5.0.1.14, 2.5.0.2.8, 2.6.0.1.5;
    • Oracle VM VirtualBox, versiones anteriores a 7.0.22 y 7.1.2;
    • Oracle WebCenter Forms Recognition, versión 14.1.1.0.0;
    • Oracle WebCenter Portal, versión 12.2.1.4.0;
    • Oracle WebCenter Sites, versión 12.2.1.4.0;
    • Oracle WebLogic Server, versiones 12.2.1.4.0, 14.1.1.0.0;
    • PeopleSoft Enterprise CC Common Application Objects, versión 9.2;
    • PeopleSoft Enterprise ELM Enterprise Learning Management, versión 9.2;
    • PeopleSoft Enterprise FIN Expenses, versión 9.2;
    • PeopleSoft Enterprise HCM Global Payroll Core, versiones 9.2.48-9.2.50;
    • PeopleSoft Enterprise PeopleTools, versiones 8.59, 8.60, 8.61;
    • Siebel Applications, versiones 24.7 y anteriores.

Recomendaciones

Aplicar los parches correspondientes, según los productos afectados. La información para descargar las actualizaciones puede obtenerse del boletín de seguridad publicado por Oracle.

Referencias

https://www.oracle.com/security-alerts/cpuoct2024.html

https://www.incibe.es/incibe-cert/alerta-temprana/avisos/actualizaciones-criticas-en-oracle-octubre-2024