Se publica el nuevo Critical Patch Update abril 2022 de Oracle

27 Abril 2022
Crítico
Amenaza

 

En el aviso de actualización de parches críticos de Oracle de abril 2022 se reportaron 520 correcciones para fallas de seguridad, de las cuales hay 221 vulnerabilidades únicas que se clasifican en 28 de severidad Crítica, 67 de severidad Alta, 115 de severidad Media y finalmente 11 de severidad Baja.

Junto a esta publicación, Eric Mauice, vicepresidente de garantía de seguridad de Oracle, hizo un anuncio en el blog de la compañía donde habla sobre la modificación de las próximas fechas de publicación:

“Con este lanzamiento de la Actualización de Parches Críticos, Oracle realiza un pequeño ajuste en el calendario de lanzamiento de la Actualización de Parches Críticos.  Las Actualizaciones de Parches Críticos ya no se publicarán el martes más cercano al día 17 del mes de enero, abril, julio y octubre, sino que se publicarán el tercer martes de enero, abril, julio y octubre.   Este pequeño ajuste no afectará a la frecuencia de los lanzamientos de las Actualizaciones de Parches Críticos (que siguen siendo 4 veces al año), pero esencialmente, facilita el establecimiento de recordatorios en el calendario y la determinación de la fecha de los futuros lanzamientos de las Actualizaciones de Parches Críticos.”

 

Información referente a las actualizaciones críticas

Tres de las vulnerabilidades críticas reportadas tienen una puntuación CVSS de 10. Oracle Communications Cloud Native Core Network Exposure Function tiene dos fallas con una puntuación de 10, ambos rastreados como CVE-2022-22947, estas son vulnerables a un ataque de inyección de código cuando el punto final del actuador Gateway está habilitado, expuesto y no protegido. 

Por otro lado,  Oracle Communications Billing and Revenue Management se ve afectado por la falla crítica CVE-2022-21431, la cual puede ser fácilmente explotable permitiendo que un atacante no autenticado con acceso a la red a través de TCP comprometa Oracle Communications Billing and Revenue Management. Si bien la vulnerabilidad se encuentra en Oracle Communications Billing and Revenue Management, los ataques pueden tener un impacto significativo en productos adicionales.

 

Las vulnerabilidades de seguridad mostradas en esta actualización de parche crítico y los productos afectados que en ella se describen, se encuentran enumerados y descritos en la documentación del mes de abril de avisos de actualización de parches críticos que anexamos en el siguiente Link.

Mitigación

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

El listado de las CVE se adjunta a continuación:
Tags: #Oracle #Parche #Vulnerabilidades #Database #CVE-2022-21431 #CVE-2022-22947
Fuentes utilizadas
https://www.oracle.com/security-alerts/cpu...
Entel Corp.
Torre Entel,
Santiago, Chile
Enlaces Internos
Blogs de Seguridad


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.