Última actualización anual de parches críticos en Oracle

La última actualización de parches críticos (Critical Patch Update) del año de Oracle contiene 419 parches para las distintas familias de productos Oracle.

De este reporte final se obtiene un total de 231 CVE involucrados con distintos niveles de riesgo, los cuales corresponden a 19 de riesgo crítico, 78 de severidad alta, 120 de severidad media y finalmente 14 vulnerabilidades de severidad baja.

Información referente a las actualizaciones

Las vulnerabilidades que afectan a la base de datos Oracle o Oracle Fusion Middleware pueden afectar a las aplicaciones Oracle Fusion, por lo que los clientes de Oracle deben consultar el documento de conocimientos de actualización de parches críticos de las aplicaciones Oracle Fusion, My Oracle Support Note 1967316.1 para obtener información sobre los parches que se aplicarán a los entornos de aplicaciones Fusion.

Las vulnerabilidades que afectan a Oracle Solaris pueden afectar a Oracle ZFSSA, por lo que los clientes de Oracle deben consultar el Documento de conocimientos de actualización de parches críticos de la suite de productos de Oracle y Sun Systems, My Oracle Support Note 2160904.1 para obtener información sobre las revisiones mínimas de los parches de seguridad necesarios para resolver los problemas de ZFSSA publicados en Actualizaciones de parches críticos. y boletines de terceros de Solaris.

Los boletines de terceros de Solaris se utilizan para anunciar parches de seguridad para software de terceros distribuidos con Oracle Solaris. Los clientes de Solaris 10 deben consultar los conjuntos de parches más recientes que contienen correcciones de seguridad críticas y que se detallan en el Documento de disponibilidad de parches de sistemas. Consulte el Índice de referencia de ID de CVE y parches de Solaris (My Oracle Support Note 1448883.1) para obtener más información.

Los usuarios que ejecutan Java SE con un navegador pueden descargar la última versión de https://java.com. Los usuarios de las plataformas Windows y Mac OS X también pueden utilizar las actualizaciones automáticas para obtener la última versión.

Riesgos destacados con explotación remota abordados en este comunicado

Se destaca el riesgo de explotabilidad para los siguientes productos

Servidor de base de datos Oracle

• CVE-2021-25122 (el cual también aborda CVE-2020-9484 y CVE-2021-25329).
• CVE-2021-26272 (el cual también aborda CVE-2021-26271).

Oracle Essbase 

• CVE-2021-35652
• CVE-2021-35654
• CVE-2021-35655

Oracle GoldenGate

• CVE-2019-3740 (el cual también aborda CVE-2019-3738 y CVE-2019-3739)

Oracle Graph Server y Client

• CVE-2021-25122 (el cual también aborda CVE-2021-25329).

Oracle REST Data Services

• CVE-2021-28165 (el cual también aborda CVE-2021-28169 y CVE-2021-34428).

Oracle Secure Backup

• CVE-2021-3450 (el cual también aborda CVE-2021-3449).

Aplicaciones de comunicaciones de Oracle 

• CVE-2021-3177
• CVE-2021-2351
• CVE-2021-22118
• CVE-2021-36090
• CVE-2021-30468
• CVE-2020-25648
• CVE-2019-10086
• CVE-2021-23337
• CVE-2020-6950
• CVE-2021-21409
• CVE-2020-17521
• CVE-2021-31812
• CVE-2021-28657
• CVE-2021-29425
• CVE-2021-33037

Comunicaciones de Oracle 

• CVE-2019-10086
• CVE-2021-30640
• CVE-2018-20034
• CVE-2020-11994
• CVE-2020-7226
• CVE-2020-9488
• CVE-2021-22696
• CVE-2021-25215
• CVE-2021-28165
• CVE-2021-29425
• CVE-2021-30468
• CVE-2021-33560
• CVE-2021-36090

Ingeniería y construcción de Oracle 

• CVE-2021-26691
• CVE-2021-2351
• CVE-2021-36090
• CVE-2021-33037
• CVE-2021-29425
   

Oracle E-Business Suite 
 

• CVE-2021-35580
• CVE-2021-2477
• CVE-2021-35554
• CVE-2021-35581
   

Oracle Enterprise Manager  
 

• CVE-2021-26691
• CVE-2021-3518
• CVE-2021-2351
• CVE-2020-25649
   

Aplicaciones de servicios financieros de Oracle 
 

• CVE-2020-5413
• CVE-2020-10683
• CVE-2020-24750
• CVE-2020-28052
• CVE-2020-25649
• CVE-2021-36090
• CVE-2019-0227
• CVE-2020-8203
• CVE-2020-6950
• CVE-2021-26272
• CVE-2021-21409
   

Oracle Fusion Middleware

• CVE-2019-13990
• CVE-2018-8088

Oracle Health Sciences 

• CVE-2019-17195
• CVE-2020-11022
• CVE-2020-11023
   

Aplicaciones de Oracle Hospitality

• CVE-2020-11022               

Oracle Hyperion 

• CVE-2021-35665
• CVE-2019-11358
   

Aplicaciones de seguros de Oracle 
 

• CVE-2016-1000031
• CVE-2019-13990
• CVE-2020-10683
• CVE-2019-17195
   

Oracle Java SE 
 

• CVE-2021-3517
• CVE-2021-35560
• CVE-2021-27290
   

Oracle JD Edwards 

• CVE-2021-22884
• CVE-2020-25648
• CVE-2020-8203
• CVE-2021-3450
• CVE-2021-3450
   

Oracle MySQL 

• CVE-2021-22931
• CVE-2021-3711
• CVE-2021-3518
• CVE-2021-22926
• CVE-2021-36222
• CVE-2021-35583
• CVE-2021-3712
• CVE-2021-33037
• CVE-2021-29425
• CVE-2021-35613
   

Oracle PeopleSoft 
 

• CVE-2021-23926
• CVE-2021-36090
• CVE-2020-1967
   

Aplicaciones minoristas de Oracle 
 

• CVE-2021-2351
• CVE-2020-6950
• CVE-2020-25649
   

Oracle Siebel CRM 
 

• CVE-2021-28165
• CVE-2021-25122
• CVE-2016-2183
   

Cadena de suministro de Oracle 
 

• CVE-2021-28165
• CVE-2020-25649
• CVE-2021-2476
   

Sistemas Oracle 
 

• CVE-2021-26691
• CVE-2020-1968
   

Virtualización de Oracle

• CVE-2021-33037

Próximas fechas

Las actualizaciones críticas del parche se publican el martes más cercano al día 17 de enero, abril, julio y octubre, acorde a la proyección del Oracle las próximas cuatro fechas son:

• 18 de enero de 2022
• 19 de abril de 2022
• 19 de julio de 2022
• 18 de octubre de 2022

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
• Seguir instrucciones de Oracle con respecto a qué organizaciones prueben los cambios en los sistemas que no son de producción.