Oracle ha presentado una colección de parches de seguridad mediante actualizaciones para abordar múltiples fallas de seguridad, las cuales se conocen como actualización de parche crítico.
Estos parches abordan las vulnerabilidades en el código de Oracle y en los componentes de terceros incluidos en los productos de Oracle, suelen ser acumulativos, pero cada aviso describe solo los parches de seguridad agregados desde el aviso de actualización de parche crítico anterior.
Esta actualización de parche crítico contiene 433 nuevos parches de seguridad en las familias de productos que se enumeran a continuación.
| Productos afectados | Versiones afectadas |
| Management Cloud Engine | versión 22.1.0.0.0. |
| Oracle Access Manager | versión 12.2.1.4.0. |
| Oracle Agile PLM | versión 9.3.6. |
| Oracle Application Testing Suite | versión 13.3.0.1. |
| Oracle BI Publisher | versiones 6.4.0.0.0, 12.2.1.4.0. |
| Oracle Big Data Spatial and Graph | versiones anteriores a la 23.1. |
| Oracle Blockchain Platform | versiones anteriores a la 21.1.3. |
| Oracle Clinical Remote Data Capture | versión 5.4.0.2. |
| Oracle Coherence | versiones 12.2.1.4.0, 14.1.1.0.0. |
| Oracle Data Integrator | versión 12.2.1.4.0. |
| Oracle Database Server | versiones 19c, 21c. |
| Oracle Documaker | versiones 12.6.0.0.0, 12.6.2.0.0-12.6.4.0.0, 12.7.0.0.0, 12.7.1.0.0. |
| Oracle E-Business Suite | versiones 12.2.3-12.2.12. |
| Oracle Essbase | versión 21.4. |
| Oracle GraalVM Enterprise Edition | versiones 20.3.8, 20.3.9, 21.3.4, 21.3.5, 22.3.0, 22.3.1. |
| Oracle Graph Server and Client | versiones anteriores a la 23.1.0, anteriores a la 23.2.0. |
| Oracle Health Sciences InForm | versiones anteriores a la 6.3.1.3, anteriores a la 7.0.0.1. |
| Oracle Hospitality OPERA 5 Property Services | versión 5.6. |
| Oracle HTTP Server | versión 12.2.1.4.0. |
| Oracle Identity Manager | versión 12.2.1.4.0. |
| Oracle iLearning | versión 6.3.1. |
| Oracle Insurance Policy Administration Operational Data Store for Life and Annuity | versión 1.0.1.8. |
| Oracle Java SE | versiones 8u361, 8u361-perf, 11.0.18, 17.0.6,20. |
| Oracle JDeveloper | versión 12.2.1.4.0. |
| Oracle Managed File Transfer | versión 12.2.1.4.0. |
| Oracle Middleware Common Libraries and Tools | versión 12.2.1.4.0. |
| Oracle NoSQL Database | versiones anteriores a la 19.5.32. |
| Oracle Outside In Technology | versión 8.5.6. |
| Oracle REST Data Services | versiones anteriores a la 23.1.0. |
| Oracle SOA Suite | versión 12.2.1.4.0. |
| Oracle Solaris | versiones 10,11. |
| Oracle SQL Developer | versiones anteriores a la 22.4.0, anteriores a la 23.1.0. |
| Oracle TimesTen In-Memory Database | versiones anteriores a 22.1.1.7.0. |
| Oracle VM VirtualBox | versiones anteriores a la 6.1.44, anteriores a la 7.0.8. |
| Oracle WebLogic Server | versiones 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0. |
| Primavera P6 Enterprise Project Portfolio Management | versiones 18.8.0-18.8.26, 19.12.0-19.12.21, 20.12.0-20.12.18, 21.12.0-21.12.12, 22.12.0-22.12.3. |
| Primavera Unifier | versiones 18.8.0-18.8.18, 19.12.0-19.12.16, 20.12.0-20.12.16, 21.12.0-21.12.14, 22.12.0-22.12.3. |
| Siebel Applications | versiones 21.10 y anteriores, 22.10 y anteriores, 23.3 y anteriores. |
Familias de productos con sus versiones afectadas
Para cada familia de producto, Oracle ha publicado una matriz de riesgo, las mismas que enumeran las vulnerabilidades de seguridad abordadas en este parche, también presentan su respectivo identificador CVE y la clasificación CVSSv3.1.
Oracle realiza un análisis de cada vulnerabilidad de seguridad abordada por una actualización de parche crítico. Oracle no divulga información detallada sobre este análisis de seguridad a los clientes, pero la Matriz de riesgo resultante y la documentación asociada brindan información sobre el tipo de vulnerabilidad, las condiciones requeridas para explotarla y el impacto potencial de una explotación exitosa.
Si desea consultar con mayor detalle las múltiples vulnerabilidades que afectan a su producto puede consultarlo en la página oficial de Oracle.
_______________________________________________________________________________________________
Boletín de terceros de Oracle Solaris
Este anuncia parches para una o más vulnerabilidades de seguridad abordadas en el software de terceros que se incluye en las distribuciones de Oracle Solaris. Este boletín de Oracle Solaris contiene 29 nuevos parches de seguridad para el sistema operativo Oracle Solaris, de los cuales 22 pueden explotarse de forma remota sin autenticación.
Los componentes de terceros con vulnerabilidades en Oracle Solaris se enumeran a continuación.
- Apache Portable Runtime
- MySQL
- Git
- Firefox
- Thunderbird
- OpenSSL
- Django
- Node.js
- Apache HTTP server
- PHP
- OpenSSL
- Apache Tomcat
- LibTIFF
- Memcached
Si desea conocer más información sobre las vulnerabilidades abordadas Oracle Solaris con su respectivo CVE, CVSSv3.1 y al complemento que afecta, puede visitar la página oficial.
_______________________________________________________________________________________________
Boletín de Oracle Linux
Este enumera todos los CVE que se resolvieron y anunciaron en los Avisos de seguridad de Oracle Linux (ELSA). Este boletín de Oracle Linux contiene 57 nuevos parches de seguridad para Oracle Linux.
Los componentes de terceros con vulnerabilidades en Oracle Linux se enumeran a continuación.
- nodejs:14
- nodejs:16
- nodejs:18
- kernel
- pesign
- tigervnc and xorg-x11-server
- tigervnc
- firefox
- haproxy
- nss
- thunderbird
- gnutls
- openssl
- postgresql
- postgresql:13
- Unbreakable Enterprise kernel
- Unbreakable Enterprise kernel-container
- curl
- httpd and mod_http2
- httpd
- httpd:2.4
Si desea conocer más información sobre las vulnerabilidades abordadas en Oracle Linux con su respectivo CVE, CVSSv3.1 y al complemento que afecta, puede visitar la página oficial.
_______________________________________________________________________________________________
Recomendaciones
- Se recomienda encarecidamente que los clientes permanezcan en las versiones con soporte activo y apliquen las actualizaciones de los parches de seguridad de critical patch, así como las actualizaciones en los complementos de terceros de Oracle Solaris y Oracle Linux lo más pronto posible.
Referencias