Alerta Masiva de Ciberseguridad por actualizaciones críticas en Oracle

  • 21/01/2022
  • 132
Alerta Masiva de Ciberseguridad por actualizaciones críticas en Oracle

El 19 de enero de 2022 Oracle ha publicado una actualización crítica con parches para corregir vulnerabilidades, que afectan a múltiples productos.

 Recursos afectados: 

  • Agile Product Lifecycle Management Integration Pack para Oracle E-Business Suite, versión 3.6;
  • Application Performance Management, versiones 13.4.1.0 y 13.5.1.0;
  • Big Data Spatial and Graph, versiones anteriores a 23.1;
  • Enterprise Manager Base Platform, versiones 13.4.0.0 y 13.5.0.0;
  • Enterprise Manager Ops Center, versión 12.4.0.0;
  • Fujitsu M10-1, M10-4, M10-4S, M12-1, M12-2, M12-2S Servers, versiones anteriores a XCP2410, y XCP3110;
  • Instantis EnterpriseTrack, versiones 17.1, 17.2 y 17.3;
  • JD Edwards EnterpriseOne Tools, versiones anteriores a 9.2.6.1;
  • MySQL Cluster, versiones 7.4.34 y anteriores, 7.5.24 y anteriores, 7.6.20 y anteriores, 8.0.27 y anteriores;
  • MySQL Connectors, versiones 8.0.27 y anteriores;
  • MySQL Server, versiones 5.7.36 y anteriores, 8.0.27 y anteriores;
  • MySQL Workbench, versiones 8.0.27 y anteriores;
  • Oracle Access Manager, versiones 11.1.2.3.0, 12.2.1.3.0 y 12.2.1.4.0;
  • Oracle Agile Engineering Data Management, versión 6.2.1.0;
  • Oracle Agile PLM, versiones 9.3.3 y 9.3.6;
  • Oracle Agile PLM MCAD Connector, versiones 3.4 y 3.6;
  • Oracle Airlines Data Model, versiones 12.1.1.0.0 y 12.2.0.1.0;
  • Oracle Application Express, versiones anteriores a 21.1.4;
  • Oracle Application Testing Suite, versión 13.3.0.1;
  • Oracle Argus Analytics, versiones 8.2.1, 8.2.2 y 8.2.3;
  • Oracle Argus Insight, versiones 8.2.1, 8.2.2 y 8.2.3;
  • Oracle Argus Mart, versiones 8.2.1, 8.2.2 y 8.2.3;
  • Oracle Argus Safety, versiones 8.2.1, 8.2.2 y 8.2.3;
  • Oracle Banking APIs, versiones 18.1-18.3, 19.1, 19.2, 20.1 y 21.1;
  • Oracle Banking Deposits and Lines of Credit Servicing, versión 2.12.0;
  • Oracle Banking Digital Experience, versiones 17.2, 18.1-18.3, 19.1, 19.2, 20.1 y 21.1;
  • Oracle Banking Enterprise Default Management, versiones 2.3.0-2.4.1, 2.6.2, 2.7.0, 2.7.1, 2.10.0 y 2.12.0;
  • Oracle Banking Loans Servicing, versión 2.12.0;
  • Oracle Banking Party Management, versión 2.7.0;
  • Oracle Banking Platform, versiones 2.3.0-2.4.1, 2.6.2, 2.7.0 y 2.7.1;
  • Oracle BI Publisher, versiones 5.5.0.0.0, 11.1.1.9.0, 12.2.1.3.0 y 12.2.1.4.0;
  • Oracle Business Activity Monitoring, versiones 12.2.1.4.0 y 12.2.1.5.0;
  • Oracle Business Intelligence Enterprise Edition, versiones 5.5.0.0.0, 5.9.0.0.0, 12.2.1.3.0 y 12.2.1.4.0;
  • Oracle Business Process Management Suite, versiones 12.2.1.3.0 y 12.2.1.4.0;
  • Oracle Clinical, versiones 5.2.1 y 5.2.2;
  • Oracle Commerce Guided Search, versión 11.3.2;
  • Oracle Commerce Platform, versiones 11.3.0, 11.3.1 y 11.3.2;
  • Oracle Communications Billing and Revenue Management, versiones 12.0.0.3 y 12.0.0.4;
  • Oracle Communications BRM - Elastic Charging Engine, versiones 11.3 y 12.0;
  • Oracle Communications Calendar Server, versión 8.0.0.5.0;
  • Oracle Communications Cloud Native Core Automated Test Suite, versión 1.8.0;
  • Oracle Communications Cloud Native Core Binding Support Function, versiones 1.9.0 y 1.10.0;
  • Oracle Communications Cloud Native Core Console, versión 1.7.0;
  • Oracle Communications Cloud Native Core Network Function Cloud Native Environment, versión 1.9.0;
  • Oracle Communications Cloud Native Core Network Repository Function, versión 1.14.0;
  • Oracle Communications Cloud Native Core Policy, versión 1.14.0;
  • Oracle Communications Cloud Native Core Security Edge Protection Proxy, versiones 1.5.0, 1.6.0 y 1.15.0;
  • Oracle Communications Cloud Native Core Service Communication Proxy, versión 1.14.0;
  • Oracle Communications Cloud Native Core Unified Data Repository, versión 1.14.0;
  • Oracle Communications Contacts Server, versión 8.0.0.3.0;
  • Oracle Communications Convergence, versión 3.0.2.2.0;
  • Oracle Communications Convergent Charging Controller, versiones 6.0.1.0.0 y 12.0.1.0.0-12.0.4.0.0;
  • Oracle Communications Data Model, versiones 11.3.2.1.0, 11.3.2.2.0, 11.3.2.3.0, 12.1.0.1.0 y 12.1.2.0.0;
  • Oracle Communications Design Studio, versiones 7.3.4, 7.3.5, 7.4.0, 7.4.1 y 7.4.2;
  • Oracle Communications Diameter Signaling Router, versiones 8.0.0.0-8.5.1.0;
  • Oracle Communications EAGLE Application Processor, versiones 16.1-16.4;
  • Oracle Communications Instant Messaging Server, versión 10.0.1.5.0;
  • Oracle Communications Interactive Session Recorder, versiones 6.3 y 6.4;
  • Oracle Communications Messaging Server, versión 8.1;
  • Oracle Communications Network Charging and Control, versiones 6.0.1.0.0 y 12.0.1.0.0-12.0.4.0.0;
  • Oracle Communications Network Integrity, versiones 7.3.5 y 7.3.6;
  • Oracle Communications Offline Mediation Controller, versión 12.0.0.3;
  • Oracle Communications Operations Monitor, versiones 3.4, 4.2, 4.3, 4.4 y 5.0;
  • Oracle Communications Pricing Design Center, versiones 12.0.0.3.0 y 12.0.0.4.0;
  • Oracle Communications Service Broker, versión 6.2;
  • Oracle Communications Services Gatekeeper, versión 7.0;
  • Oracle Communications Session Border Controller, versiones 8.2, 8.3, 8.4 y 9.0;
  • Oracle Communications Unified Inventory Management, versiones 7.3.0, 7.3.4, 7.3.5, 7.4.0, 7.4.1, 7.4.2 y 7.5.0;
  • Oracle Communications WebRTC Session Controller, versiones 7.2.0 y 7.2.1;
  • Oracle Data Integrator, versiones 12.2.1.3.0 y 12.2.1.4.0;
  • Oracle Database Server, versiones 12.1.0.2, 12.2.0.1 y 19c, 21c;
  • Oracle Demantra Demand Management, versiones 12.2.6-12.2.11;
  • Oracle E-Business Suite, versiones 12.2.3-12.2.11;
  • Oracle Enterprise Communications Broker, versión 3.3;
  • Oracle Enterprise Data Quality, versiones 12.2.1.3.0 y 12.2.1.4.0;
  • Oracle Enterprise Session Border Controller, versiones 8.4 y 9.0;
  • Oracle Essbase, versiones anteriores a 11.1.2.4.47, anteriores a 21.3;
  • Oracle Essbase Administration Services, versiones anteriores a 11.1.2.4.47;
  • Oracle Financial Services Analytical Applications Infrastructure, versiones 8.0.7-8.1.1;
  • Oracle Financial Services Behavior Detection Platform, versiones 8.0.7, 8.0.8 y 8.1.1;
  • Oracle Financial Services Enterprise Case Management, versiones 8.0.7, 8.0.8 y 8.1.1;
  • Oracle Financial Services Foreign Account Tax Compliance Act Management, versiones 8.0.7, 8.0.8 y 8.1.1;
  • Oracle Financial Services Model Management and Governance, versiones 8.0.8-8.1.1;
  • Oracle Financial Services Trade-Based Anti Money Laundering Enterprise Edition, versiones 8.0.7 y 8.0.8;
  • Oracle FLEXCUBE Investor Servicing, versiones 12.0.4, 12.1.0, 12.3.0, 12.4.0, 14.4.0 y 14.5.0;
  • Oracle FLEXCUBE Private Banking, versiones 12.0.0 y 12.1.0;
  • Oracle Fusion Middleware, versiones 12.2.1.3.0 y 12.2.1.4.0;
  • Oracle Fusion Middleware MapViewer, versión 12.2.1.4.0;
  • Oracle GoldenGate, versiones anteriores a 12.3.0.1, 19.1.0.0.220118, 21.4.0.0.0 y 21.5.0.0.220118;
  • Oracle GraalVM Enterprise Edition, versiones 20.3.4 y 21.3.0;
  • Oracle Graph Server and Client, versiones anteriores a 21.4;
  • Oracle Health Sciences Clinical Development Analytics, versión 4.0.1;
  • Oracle Health Sciences InForm CRF Submit, versión 6.2.1;
  • Oracle Health Sciences Information Manager, versiones 3.0.2 y 3.0.3;
  • Oracle Healthcare Data Repository, versiones 7.0.2, 8.1.0 y 8.1.1;
  • Oracle Healthcare Foundation, versiones 7.3.0.0-7.3.0.2, 8.0.0-8.0.2 y, 8.1.0-8.1.1;
  • Oracle Healthcare Translational Research, versión 4.1.0;
  • Oracle Hospitality Cruise Shipboard Property Management System, versión 20.1.0;
  • Oracle Hospitality OPERA 5, versión 5.6;
  • Oracle Hospitality Reporting and Analytics, versión 9.1.0;
  • Oracle Hospitality Suite8, versiones 8.10.2, 8.11.0, 8.12.0, 8.13.0 y 8.14.0;
  • Oracle HTTP Server, versiones 12.2.1.3.0, 12.2.1.4.0 y 12.2.1.5.0;
  • Oracle Hyperion Infrastructure Technology, versión 11.2.7.0;
  • Oracle iLearning, versiones 6.2 y 6.3;
  • Oracle Insurance Data Gateway, versiones 11.0.2, 11.1.0, 11.2.7, 11.3.0 y 11.3.1;
  • Oracle Insurance Insbridge Rating and Underwriting, versiones 5.2.0 y 5.4.0-5.6.0;
  • Oracle Insurance Policy Administration, versiones 11.0.2, 11.1.0, 11.2.7, 11.3.0 y 11.3.1;
  • Oracle Insurance Policy Administration J2EE, versiones 10.2.0, 10.2.4, 11.0.2 y 11.1.0-11.3.0;
  • Oracle Insurance Rules Palette, versiones 10.2.0, 10.2.4, 11.0.2, 11.1.0-11.3.0 y 11.3.1;
  • Oracle Java SE, versiones 7u321, 8u311, 11.0.13 y 17.1;
  • Oracle Managed File Transfer, versiones 12.2.1.3.0 y 12.2.1.4.0;
  • Oracle NoSQL Database, versiones anteriores a 21.1.12;
  • Oracle Policy Automation, versiones 12.2.0-12.2.24;
  • Oracle Product Lifecycle Analytics, versión 3.6.1;
  • Oracle Rapid Planning, versiones 12.2.6-12.2.11;
  • Oracle Real User Experience Insight, versiones 13.4.1.0 y 13.5.1.0;
  • Oracle REST Data Services, versiones anteriores a 21.2.4;
  • Oracle Retail Allocation, versiones 14.1.3.2, 15.0.3.1, 16.0.3 y 19.0.1;
  • Oracle Retail Analytics, versión 21.0.1;
  • Oracle Retail Assortment Planning, versión 16.0.3;
  • Oracle Retail Back Office, versión 14.1;
  • Oracle Retail Central Office, versión 14.1;
  • Oracle Retail Customer Insights, versión 21.0.1;
  • Oracle Retail Customer Management and Segmentation Foundation, versiones 16.0-19.0;
  • Oracle Retail EFTLink, versiones 16.0.3, 17.0.2, 18.0.1, 19.0.1 y 20.0.1;
  • Oracle Retail Extract Transform and Load, versión 13.2.8;
  • Oracle Retail Financial Integration, versiones 14.1.3.2, 15.0.3.1, 16.0.3 y 19.0.1;
  • Oracle Retail Fiscal Management, versión 14.2;
  • Oracle Retail Integration Bus, versiones 14.1.3.0, 14.1.3.2, 15.0.3.1, 16.0.1-16.0.3, 19.0.0 y 19.0.1;
  • Oracle Retail Invoice Matching, versiones 15.0.3 y 16.0.3;
  • Oracle Retail Merchandising System, versión 19.0.1;
  • Oracle Retail Order Broker, versiones 16.0, 18.0 y 19.1;
  • Oracle Retail Order Management System, versión 19.5;
  • Oracle Retail Point-of-Service, versión 14.1;
  • Oracle Retail Predictive Application Server, versiones 14.1.3, 14.1.3.46, 15.0.3, 15.0.3.115, 16.0.3 y 16.0.3.240;
  • Oracle Retail Price Management, versiones 13.2, 14.0.4, 14.1, 14.1.3, 15, 15.0.3, 16 y 16.0.3;
  • Oracle Retail Returns Management, versión 14.1;
  • Oracle Retail Service Backbone, versiones 14.1.3.0, 14.1.3.2, 15.0.3.1, 16.0.1-16.0.3, 19.0.0 y 19.0.1;
  • Oracle Retail Size Profile Optimization, versión 16.0.3;
  • Oracle Retail Xstore Point of Service, versiones 17.0.4, 18.0.3, 19.0.2 y 20.0.1;
  • Oracle SD-WAN Aware, versión 8.2;
  • Oracle SD-WAN Edge, versiones 9.0 y 9.1;
  • Oracle Secure Backup, versiones anteriores a 18.1.0.1.0;
  • Oracle Solaris, versiones 10 y 11;
  • Oracle Spatial Studio, versiones anteriores a 21.2.1;
  • Oracle Thesaurus Management System, versiones 5.2.3, 5.3.0 y 5.3.1;
  • Oracle TimesTen In-Memory Database, versiones anteriores a 11.2.2.8.27 y 21.1.1.1.0;
  • Oracle Utilities Framework, versiones 4.2.0.2.0, 4.2.0.3.0, 4.3.0.1.0-4.3.0.6.0, 4.4.0.0.0, 4.4.0.2.0 y 4.4.0.3.0;
  • Oracle Utilities Testing Accelerator, versiones 6.0.0.1.1, 6.0.0.2.2 y 6.0.0.3.1;
  • Oracle VM VirtualBox, versiones anteriores a 6.1.32;
  • Oracle WebCenter Portal, versiones 12.2.1.3.0 y 12.2.1.4.0;
  • Oracle WebLogic Server, versiones 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.0;
  • Oracle ZFS Storage Appliance Kit, versión 8.8;
  • Oracle ZFS Storage Application Integration Engineering Software, versión 1.3.3;
  • OSS Support Tools, versiones anteriores a 2.12.42;
  • PeopleSoft Enterprise CS SA Integration Pack, versiones 9.0 y 9.2;
  • PeopleSoft Enterprise PeopleTools, versiones 8.57, 8.58 y 8.59;
  • Primavera Analytics, versiones 18.8.3.3, 19.12.11.1 y 20.12.12.0;
  • Primavera Data Warehouse, versiones 18.8.3.3, 19.12.11.1 y 20.12.12.0;
  • Primavera Gateway, versiones 17.12.0-17.12.11, 18.8.0-18.8.13, 19.12.0-19.12.12, 20.12.0-20.12.7 y 21.12.0;
  • Primavera P6 Enterprise Project Portfolio Management, versiones 17.12.0.0-17.12.20.0, 18.8.0.0-18.8.24.0, 19.12.0.0-19.12.18.0, 20.12.0.0-20.12.12.0 y 21.12.0.0;
  • Primavera P6 Professional Project Management, versiones 17.12.0.0-17.12.20.0, 18.8.0.0-18.8.24.0, 19.12.0.0-19.12.17.0 y 20.12.0.0-20.12.9.0;
  • Primavera Portfolio Management, versiones 18.0.0.0-18.0.3.0, 19.0.0.0-19.0.1.2, 20.0.0.0 y 20.0.0.1;
  • Primavera Unifier, versiones 17.7-17.12, 18.8, 19.12, 20.12 y 21.12;
  • Siebel Applications, versiones 21.11 y anteriores.

 

Descripción:

Esta actualización resuelve 497 vulnerabilidades, algunas de las cuales son críticas. El detalle de las vulnerabilidades resueltas se puede consultar en el enlace de Oracle de la sección de ‘Referencias’.

  • Las vulnerabilidades que afectan a Oracle Database o a Oracle Fusion Middleware pueden afectar a Oracle Fusion Applications, por lo que los clientes de Oracle deben consultar el documento de conocimientos de actualización de parches críticos de Oracle Fusion Applications, My Oracle Support Note 1967316.1, para obtener información sobre los parches que deben aplicarse a los entornos de Fusion Application.
  • Las vulnerabilidades que afectan a Oracle Solaris pueden afectar a Oracle ZFSSA, por lo que los clientes de Oracle deben consultar el documento de conocimientos de actualización de parches críticos de Oracle y Sun Systems Product Suite, la nota de soporte de My Oracle 2160904.1, para obtener información sobre las revisiones mínimas de los parches de seguridad necesarios para resolver los problemas de ZFSSA publicados en las actualizaciones de parches críticos y los boletines de Solaris Third Party.
  • Los boletines de Solaris Third Party se utilizan para anunciar parches de seguridad para el software de terceros distribuido con Oracle Solaris. Los clientes de Solaris 10 deben consultar los últimos conjuntos de parches que contienen correcciones de seguridad críticas, y que se detallan en el documento de disponibilidad de parches de sistemas. Para obtener más información consulte el índice de referencia de ID de CVE y parches de Solaris (Nota de soporte de My Oracle 1448883.1).
  • Los usuarios que utilicen Java SE con un navegador pueden descargar la última versión desde https://java.com. Los usuarios de las plataformas Windows y mac OS X también pueden utilizar las actualizaciones automáticas para obtener la última versión.

 

Recomendaciones:

  • Aplicar los parches correspondientes según los productos afectados. La información para descargar las actualizaciones puede obtenerse del boletín de seguridad publicado por Oracle.

 

Referencias

  • https://www.oracle.com/security-alerts/cpujan2022.html