Oracle anunció el primer Patch Update de 2022

19 Enero 2022
Crítico


De este reporte se obtiene un total de 497 CVE involucrados con distintos niveles de riesgo, los cuales corresponden a 28 de riesgo crítico, 207 de severidad alta, 235 de severidad media y finalmente 27 vulnerabilidades de severidad baja.

Acorde a la declaracion de Oracle en esta nueva  actualización de parches críticos de seguridad, los productos son abordados de la siguiente manera:

  • 4 nuevos parches de seguridad para productos de Oracle Database
  • 1 nuevo parche de seguridad para Oracle Airlines Data Model
  • 2 nuevos parches de seguridad para Oracle Big Data Graph
  • 1 nuevo parche de seguridad para Oracle Communications Data Model
  • 4 nuevos parches de seguridad para Oracle Essbase
  • 3 nuevos parches de seguridad para Oracle GoldenGate
  • 2 nuevos parches de seguridad para Oracle Graph Server y Client
  • 1 nuevo parche de seguridad para Oracle NoSQL Database
  • 2 nuevos parches de seguridad para Oracle REST Data Services
  • 2 nuevos parches de seguridad para Oracle Secure Backup
  • 1 nuevo parche de seguridad para Oracle Spatial Studio
  • 5 nuevos parches de seguridad para Oracle TimesTen In-Memory Database

Información relevante referente a las actualizaciones emitidas por Oracle

Las vulnerabilidades que afectan a Oracle Database u Oracle Fusion Middleware pueden afectar a Oracle Fusion Applications, por lo que los clientes de Oracle deben consultar el Documento de conocimiento de actualización de parches críticos de Oracle Fusion Applications, My Oracle Support Note 1967316.1 para obtener información sobre los parches que se aplicarán a los entornos de Fusion Application.

Las vulnerabilidades que afectan a Oracle Solaris pueden afectar a Oracle ZFSSA, por lo que los clientes de Oracle deben consultar el Documento de conocimiento de actualización de parches críticos de Oracle and Sun Systems Product Suite, My Oracle Support Note 2160904.1 para obtener información sobre las revisiones mínimas de los parches de seguridad necesarios para resolver los problemas de ZFSSA publicados en Actualizaciones de parches críticos y boletines de terceros de Solaris.

Los boletines de terceros de Solaris se utilizan para anunciar parches de seguridad para software de terceros distribuidos con Oracle Solaris. Los clientes de Solaris 10 deben consultar los conjuntos de parches más recientes que contienen correcciones de seguridad críticas y se detallan en el documento de disponibilidad de parches de sistemas. Consulte el índice de referencia de ID de CVE y parches de Solaris ( Mi nota de soporte de Oracle 1448883.1 ) para obtener más información.

Los usuarios que ejecutan Java SE con un navegador pueden descargar la última versión desde https://java.com . Los usuarios de las plataformas Windows y Mac OS X también pueden usar actualizaciones automáticas para obtener la última versión.

Adicionalmente se debe tener en cuenta que el 10 de diciembre de 2021, Oracle lanzó una alerta de seguridad para las vulnerabilidades de Apache Log4j CVE-2021-44228 y CVE-2021-45046 . Los clientes deben revisar la Alerta sí aún no lo han hecho.

Las vulnerabilidades de seguridad abordadas por esta actualización de parche crítico afectan a los productos que se enumeran a continuación.

 

Servidor de base de datos Oracle
Parches críticos

  • CVE-2021-37695
  • CVE-2021-32723
  • CVE-2022-21393
  • CVE-2022-21247

Se incluyen parches adicionales en esta actualización de parches críticos para los siguientes CVE no explotables en esta familia de productos de Oracle:

  • Asistente de configuración de base de datos de Oracle (Apache Commons Compress): CVE-2021-36090, CVE-2021-35515, CVE-2021-35516 y CVE-2021-35517.
  • Oracle espacial y gráfico (Apache Log4j): CVE-2021-45105.
  • Analizador de archivos de seguimiento (Apache Log4j): CVE-2021-45105.
  • Administrador de carga de trabajo (guayaba): CVE-2020-8908.
  • Administrador de carga de trabajo (embarcadero): CVE-2021-28165, CVE-2021-28169 y CVE-2021-34428.

 

Modelo de datos de Oracle Airlines
Parche crítico

  • CVE-2021-2351

 

Oracle Big Data Graph
Parches críticos

  • CVE-2021-2351
  • CVE-2021-30639

 

Modelo de datos de Oracle Communications
Parche crítico

  • CVE-2021-2351

 

Oracle Essbase
Parches críticos

  • CVE-2021-35683
  •  CVE-2021-3711
  •  CVE-2021-22901
  • CVE-2021-20718

Los CVE adicionales abordados son:

  • Infraestructura (Apache Commons Compress): CVE-2021-36090, CVE-2021-35515, CVE-2021-35516 y CVE-2021-35517.

 

Oracle GoldenGate
Parches críticos

  • CVE-2021-23017
  • CVE-2021-2351
  • CVE-2018-1311

 

Oracle Graph Server y Client Risk Matrix
Parches críticos

  • CVE-2021-2351
  • CVE-2021-33037

Los CVE abordados son:

  • Empaquetado/Instalación (Apache Commons IO): CVE-2021-29425.

 

Base de datos Oracle NoSQL
Parche crítico

  • CVE-2021-21409

 

Servicios de datos REST de Oracle
Parches críticos

  • CVE-2021-28165
  • CVE-2021-32014

 

Copia de seguridad segura de Oracle
Parches críticos

  • CVE-2021-26691
  • CVE-2021-3712

 

Oracle Spatial Studio
Parche crítico

  • CVE-2021-2351

 

Base de datos en memoria Oracle TimesTen
Parches críticos

  • CVE-2021-2351
  • CVE-2021-29923
  • CVE-2021-7112
  • CVE-2021-11979

 

Comerciales de Oracle
Parches críticos

  • CVE-2021-2351
  • CVE-2021-36090
  • CVE-2021-37137
  • CVE-2020-13935
  • CVE-2022-21387
  • CVE-2021-29425

 

Aplicaciones de comunicaciones de Oracle
Parches críticos

  • CVE-2022-21275
  • CVE-2022-21389
  • CVE-2022-21390
  • CVE-2022-21276
  • CVE-2022-21391
  • CVE-2021-39139
  • CVE-2021-29505
  • CVE-2021-2351
  • CVE-2020-28052
  • CVE-2020-24750
  • CVE-2021-22118
  • CVE-2022-21266
  • CVE-2021-25122
  • CVE-2021-37714
  • CVE-2021-36090
  • CVE-2019-10086
  • CVE-2020-5421
  • CVE-2021-36374
  • CVE-2021-29425
  • CVE-2022-21338
  • CVE-2022-21267
  • CVE-2022-21268
  • CVE-2022-21388

 

Comunicaciones de Oracle
Parches críticos

  • CVE-2021-23440
  • CVE-2021-21783
  • CVE-2021-32827
  • CVE-2021-27568
  • CVE-2021-39139
  • CVE-2019-13734
  • CVE-2020-13936
  • CVE-2020-15824
  • CVE-2020-10878
  • CVE-2021-39153
  • CVE-2020-36189
  • CVE-2021-22118
  • CVE-2021-33909
  • CVE-2022-21382
  • CVE-2020-17527
  • CVE-2021-37137
  • CVE-2021-33560
  • CVE-2020-13949
  • CVE-2021-28165
  • CVE-2021-22119
  • CVE-2020-28469
  • CVE-2021-25122
  • CVE-2021-36090
  • CVE-2021-42340
  • CVE-2021-23337
  • CVE-2022-21395
  • CVE-2021-21703
  • CVE-2021-44832
  • CVE-2022-21399
  • CVE-2022-21401
  • CVE-2022-21403
  • CVE-2022-21381
  • CVE-2020-11022
  • CVE-2021-21409
  • CVE-2020-14340
  • CVE-2021-33880
  • CVE-2021-3326
  • CVE-2021-45105
  • CVE-2021-3426
  • CVE-2021-23017
  • CVE-2020-27618
  • CVE-2022-21246
  • CVE-2022-21396
  • CVE-2022-21397
  • CVE-2022-21398
  • CVE-2022-21400
  • CVE-2021-34429
  • CVE-2020-13956
  • CVE-2021-33037
  • CVE-2020-29582
  • CVE-2021-21705
  • CVE-2020-8554
  • CVE-2021-29921
  • CVE-2021-29425
  • CVE-2022-21402
  • CVE-2022-21383
  • CVE-2021-3448
  • CVE-2020-8908

El CVE para Función de repositorio de red de núcleo nativo de Oracle Communications Cloud es:

  • NRF (Apache Commons Compress): CVE-2021-36090, CVE-2021-35515, CVE-2021-35516 y CVE-2021-35517

Nota: Este parche también soluciona las vulnerabilidades CVE-2021-44228 y CVE-2021-45046. Los clientes no necesitan aplicar los parches/mitigaciones de la alerta de seguridad CVE-2021-44228 y CVE-2021-45046 para este producto.

 

Construcción e ingeniería de Oracle
Parches críticos

  • CVE-2021-44790
  • CVE-2021-42575
  • CVE-2021-2351
  • CVE-2021-37714
  • CVE-2021-44832
  • CVE-2022-21269
  • CVE-2021-45105
  • CVE-2021-38153
  • CVE-2022-21377
  • CVE-2022-21242
  • CVE-2022-21376
  • CVE-2022-21281
  • CVE-2021-29425
  • CVE-2022-21243
  • CVE-2022-21244
  • CVE-2020-8908

Nota: Este parche también soluciona las vulnerabilidades CVE-2021-44228 y CVE-2021-45046. Los clientes no necesitan aplicar los parches/mitigaciones de la alerta de seguridad CVE-2021-44228 y CVE-2021-45046 para este producto.

 

Oracle E-Business Suite
Parches críticos

  • CVE-2022-21255
  • CVE-2022-21273
  • CVE-2022-21274
  • CVE-2022-21250
  • CVE-2022-21251
  • CVE-2019-10086
  • CVE-2020-6950
  • CVE-2022-21354
  • CVE-2022-21373

 

Oracle Enterprise Manager
Parches críticos

  • CVE-2021-3177
  • CVE-2021-2351
  • CVE-2021-2351
  • CVE-2021-2351
  • CVE-2021-2351
  • CVE-2021-2351
  • CVE-2022-21392

 

Aplicaciones de Oracle Financial Services
Parches críticos

  • CVE-2019-17495
  • CVE-2020-13936
  • CVE-2021-2351
  • CVE-2020-11987
  • CVE-2021-22118
  • CVE-2021-36090
  • CVE-2020-25649
  • CVE-2021-37137
  • CVE-2021-35043
  • CVE-2020-9281
  • CVE-2021-45105
  • CVE-2021-41165
  • CVE-2021-37695
  • CVE-2021-28164
  • CVE-2021-35687
  • CVE-2021-29425
  • CVE-2021-35686

Nota: Este parche también soluciona las vulnerabilidades CVE-2021-44228 y CVE-2021-45046. Los clientes no necesitan aplicar los parches/mitigaciones de la alerta de seguridad CVE-2021-44228 y CVE-2021-45046 para este producto.

 

Aplicaciones de alimentos y bebidas de Oracle
Parche crítico

  • CVE-2019-10086

 

Oracle Fusion Middleware
Parches críticos

  • CVE-2021-35587
  • CVE-2020-17530
  • CVE-2022-21306
  • CVE-2021-40438
  • CVE-2021-39154
  • CVE-2021-2351
  • CVE-2022-21346
  • CVE-2019-17566
  • CVE-2021-36090
  • CVE-2021-4104
  • CVE-2022-21292
  • CVE-2020-5258
  • CVE-2022-21371
  • CVE-2021-27568
  • CVE-2021-44832
  • CVE-2022-21252
  • CVE-2022-21347
  • CVE-2022-21350
  • CVE-2022-21353
  • CVE-2020-2934
  • CVE-2022-21361
  • CVE-2020-11023
  • CVE-2022-21257
  • CVE-2022-21258
  • CVE-2022-21259
  • CVE-2022-21260
  • CVE-2022-21261
  • CVE-2022-21262
  • CVE-2022-21386
  • CVE-2019-10219
  • CVE-2021-45105
  • CVE-2018-1324
  • CVE-2020-13956
  • CVE-2021-29425

Nota: Este parche también soluciona las vulnerabilidades CVE-2021-44228 y CVE-2021-45046. Los clientes no necesitan aplicar los parches/mitigaciones de la alerta de seguridad CVE-2021-44228 y CVE-2021-45046 para este producto.

 

Aplicaciones de Oracle Health Sciences
Parche crítico

  • CVE-2021-2351

 

Aplicaciones de Oracle HealthCare
Parche crítico

  • CVE-2021-2351

 

Aplicaciones de Oracle Hospitality
Parches críticos

  • CVE-2021-2351
  • CVE-2021-42340

 

Oracle Hyperion
Parche crítico

  • CVE-2021-2351

 

Oracle iLearning
Parche crítico

  • CVE-2021-2351

 

Aplicaciones de seguros de Oracle
Parches críticos

  • CVE-2020-10683
  • CVE-2021-2351
  • CVE-2021-22118
  • Oracle Java SE
  • Parches críticos
  • CVE-2021-22959
  • CVE-2022-21349
  • CVE-2022-21291
  • CVE-2022-21305
  • CVE-2022-21277
  • CVE-2022-21360
  • CVE-2022-21365
  • CVE-2022-21366
  • CVE-2022-21282
  • CVE-2022-21296
  • CVE-2022-21299
  • CVE-2022-21271
  • CVE-2022-21283
  • CVE-2022-21293
  • CVE-2022-21294
  • CVE-2022-21340
  • CVE-2022-21341
  • CVE-2022-21248

Notas: Esta vulnerabilidad se aplica a las implementaciones de Java, generalmente en clientes que ejecutan aplicaciones Java Web Start en espacio aislado o applets de Java en espacio aislado, que cargan y ejecutan código que no es de confianza (por ejemplo, código que proviene de Internet) y confían en el espacio aislado de Java para la seguridad. Esta vulnerabilidad también se puede explotar mediante el uso de API en el Componente especificado, por ejemplo, a través de un servicio web que proporciona datos a las API.

 

Oracle JD Edwards
Parche crítico

  • CVE-2021-2333

 

Oracle MySQL
Parches críticos

  • CVE-2021-22946
  • CVE-2021-3712
  • CVE-2022-21278
  • CVE-2022-21351
  • CVE-2022-21363
  • CVE-2022-21358
  • CVE-2021-3634
  • CVE-2022-21279
  • CVE-2022-21280
  • CVE-2022-21284
  • CVE-2022-21285
  • CVE-2022-21286
  • CVE-2022-21287
  • CVE-2022-21288
  • CVE-2022-21289
  • CVE-2022-21290
  • CVE-2022-21307
  • CVE-2022-21308
  • CVE-2022-21309
  • CVE-2022-21310
  • CVE-2022-21314
  • CVE-2022-21315
  • CVE-2022-21316
  • CVE-2022-21318
  • CVE-2022-21320
  • CVE-2022-21322
  • CVE-2022-21326
  • CVE-2022-21327
  • CVE-2022-21328
  • CVE-2022-21329
  • CVE-2022-21330
  • CVE-2022-21332
  • CVE-2022-21334
  • CVE-2022-21335
  • CVE-2022-21336
  • CVE-2022-21337
  • CVE-2022-21356
  • CVE-2022-21380
  • CVE-2022-21352
  • CVE-2022-21367
  • CVE-2022-21301
  • CVE-2022-21378
  • CVE-2022-21302
  • CVE-2022-21254
  • CVE-2022-21348
  • CVE-2022-21270
  • CVE-2022-21256
  • CVE-2022-21379
  • CVE-2022-21362
  • CVE-2022-21374
  • CVE-2022-21253
  • CVE-2022-21264
  • CVE-2022-21297
  • CVE-2022-21339
  • CVE-2022-21342
  • CVE-2022-21370
  • CVE-2022-21304
  • CVE-2022-21344
  • CVE-2022-21303
  • CVE-2022-21368
  • CVE-2022-21245
  • CVE-2022-21265
  • CVE-2022-21311
  • CVE-2022-21312
  • CVE-2022-21313
  • CVE-2022-21317
  • CVE-2022-21319
  • CVE-2022-21321
  • CVE-2022-21323
  • CVE-2022-21324
  • CVE-2022-21325
  • CVE-2022-21331
  • CVE-2022-21333
  • CVE-2022-21355
  • CVE-2022-21357
  • CVE-2022-21249
  • CVE-2022-21372

 

Oracle PeopleSoft
Parches críticos

  • CVE-2021-22931
  • CVE-2021-2351
  • CVE-2022-21300
  • CVE-2021-37137
  • CVE-2021-22946
  • CVE-2021-3712
  • CVE-2021-23337
  • CVE-2022-21345
  • CVE-2022-21359
  • CVE-2022-21272
  • CVE-2022-21369
  • CVE-2021-37695
  • CVE-2022-21364

Automatización de políticas de Oracle
Parche crítico

  • CVE-2021-2351

 

Aplicaciones minoristas de Oracle
Parches críticos

  • CVE-2020-13936
  • CVE-2021-2351
  • CVE-2021-22118
  • CVE-2021-4104
  • CVE-2021-23337
  • CVE-2021-44832
  • CVE-2021-45105
  • CVE-2021-31812
  • CVE-2021-29425

Nota: Este parche también soluciona las vulnerabilidades CVE-2021-44228 y CVE-2021-45046. Los clientes no necesitan aplicar los parches/mitigaciones de la alerta de seguridad CVE-2021-44228 y CVE-2021-45046 para este producto.

 

Oracle Siebel CRM
Parches críticos

  • CVE-2021-2351
  • CVE-2021-44832

Nota: Este parche también soluciona las vulnerabilidades CVE-2021-44228 y CVE-2021-45046. Los clientes no necesitan aplicar los parches/mitigaciones de la alerta de seguridad CVE-2021-44228 y CVE-2021-45046 para este producto.

 

Cadena de suministro de Oracle
Parches críticos

  • CVE-2021-2351
  • CVE-2020-25649
  • CVE-2021-35043
  • CVE-2021-36374
  • CVE-2020-17521
  • CVE-2021-33037

 

Herramientas de soporte de Oracle
Parches críticos

  • CVE-2021-27568
  • CVE-2021-2351
  • CVE-2016-7103
  • CVE-2021-29425

 

Sistemas Oracle
Parches críticos

  • CVE-2021-3517
  • CVE-2021-2351
  • CVE-2020-8285
  • CVE-2021-3326
  • CVE-2021-23840
  • CVE-2020-13817
  • CVE-2021-43395
  • CVE-2022-21375
  • CVE-2022-21271
  • CVE-2022-21263
  • CVE-2022-21298

 

Aplicaciones de Oracle Utilities
Parches críticos

  • CVE-2020-14756
  • CVE-2021-27568
  • CVE-2021-39139
  • CVE-2020-13936
  • CVE-2021-2351
  • CVE-2021-22118
  • CVE-2021-36090
  • CVE-2021-4104
  • CVE-2021-36374
  • CVE-2021-33037
  • CVE-2021-29425

 

Virtualización de Oracle
Parches críticos

  • CVE-2022-21394
  • CVE-2022-21295

Nota: Esta vulnerabilidad se aplica sólo a los sistemas Windows.

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

El listado de las CVE se adjunta a continuación:


Tags: #Oracle #Parche #Vulnerabilidades #Oracle Database #Oracle Airlines Data Model #Oracle Big Data Graph #Oracle Communications Data Model #Oracle Essbase #Oracle GoldenGate #Oracle Graph Server y Client #Oracle NoSQL Database #Oracle REST Data Services #Oracle Secure Backup #Oracle Spatial Studio #Oracle TimesTen In-Memory Database


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.