Oracle critical Patch Update de abril 2023 corrige 433 vulnerabilidades

19 Abril 2023

Alto

Amenaza

En el trimestre de Parches de Abril 2023, Oracle ha publicado nuevos avisos de seguridad que contemplan 433 parches críticos, de los cuales 52 son de severidad Alta y 381 de severidad Baja. Dichas vulnerabilidades afectan a productos de base de datos de Oracle divididos de la siguiente manera:

7 nuevos parches de seguridad para Oracle Blockchain Platform
5 nuevos parches de seguridad para productos de Oracle Database
4 nuevos parches de seguridad para Oracle Essbase
2 nuevos parches de seguridad para Oracle SQL Developer
2 nuevos parches de seguridad para Oracle GoldenGate
1 nuevo parche de seguridad para Oracle Graph Server and Client
1 nuevo parche de seguridad para Oracle NoSQL Database
1 nuevo parche de seguridad para Oracle REST Data Services

No hay nuevos parches de seguridad para Oracle Big Data Spatial y Graph, pero se proporcionan parches de terceros. No hay nuevos parches de seguridad para Oracle TimesTen In-Memory Database, pero se proporcionan parches de terceros

Nota de Oracle

Debido a la amenaza que representa un ataque exitoso por la explotación de las vulnerabilidades representadas, Oracle recomienda enfáticamente que los clientes apliquen los parches de seguridad Critical Patch Update lo antes posible. Hasta que se apliquen los parches de actualización de Parche Crítico, es posible reducir el riesgo de un ataque exitoso al bloquear los protocolos de red requeridos por un ataque. Para los ataques que requieren ciertos privilegios o acceso a ciertos paquetes, eliminar los privilegios o la capacidad de acceder a los paquetes de los usuarios que no los necesiten puede ayudar a reducir el riesgo de un ataque exitoso. Ambos enfoques pueden interrumpir la funcionalidad de la aplicación, por lo que Oracle recomienda encarecidamente que los clientes prueben los cambios en sistemas que no sean de producción (de prueba), antes de aplicarlos. Ningún enfoque debe considerarse una solución a largo plazo, ya que ninguno corrige el problema subyacente, por lo que Oracle recomienda encarecidamente que los clientes apliquen parches de seguridad lo antes posible.

Mitigación

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes

El listado de las CVE se adjunta a continuación:

Listado CVE

CVE-2023-21934
CVE-2023-21918
CVE-2023-24998
CVE-2022-45061
CVE-2021-23017
CVE-2022-28327
CVE-2022-25647
CVE-2020-35169
CVE-2022-32215
CVE-2020-36518
CVE-2021-36090
CVE-2023-0215
CVE-2023-21942
CVE-2023-21943
CVE-2023-21944
CVE-2022-23457
CVE-2022-42003
CVE-2022-42003
CVE-2023-21969
CVE-2021-42575
CVE-2022-40152
CVE-2022-45143
CVE-2022-24729
CVE-2022-23437
CVE-2020-35168
CVE-2022-1471
CVE-2022-36760
CVE-2020-7009
CVE-2022-31123
CVE-2022-39271
CVE-2022-42004
CVE-2022-3171
CVE-2023-0662
CVE-2019-11287
CVE-2023-1370
CVE-2022-41966
CVE-2022-46908
CVE-2022-31081
CVE-2021-41183
CVE-2022-43401
CVE-2022-43402
CVE-2022-45047
CVE-2023-25613
CVE-2022-47629
CVE-2022-46364
CVE-2022-25315
CVE-2023-25690
CVE-2022-31692
CVE-2022-37434
CVE-2022-1292
CVE-2022-37865
CVE-2021-46848
CVE-2022-42898
CVE-2022-28199
CVE-2022-40304
CVE-2022-42252
CVE-2023-23916
CVE-2022-23491
CVE-2022-40151
CVE-2022-41881
CVE-2023-0361
CVE-2022-35737
CVE-2023-25577
CVE-2022-31129
CVE-2022-31630
CVE-2023-23931
CVE-2022-38752
CVE-2022-4415
CVE-2021-37519
CVE-2023-28708
CVE-2022-27404
CVE-2022-36033
CVE-2021-23413
CVE-2023-21978
CVE-2023-21973
CVE-2023-21959
CVE-2023-21997
CVE-2021-40690
CVE-2021-36374
CVE-2022-22978
CVE-2022-42889
CVE-2023-25194
CVE-2020-11988
CVE-2022-2048
CVE-2022-22979
CVE-2022-42890
CVE-2022-43680
CVE-2022-40146
CVE-2022-34169
CVE-2021-43859
CVE-2022-24839
CVE-2022-22971
CVE-2023-21905
CVE-2023-21906
CVE-2021-41184
CVE-2022-29577
CVE-2023-21907
CVE-2023-21908
CVE-2019-12415
CVE-2023-21903
CVE-2023-21904
CVE-2021-29425
CVE-2023-21915
CVE-2023-21902
CVE-2022-22965
CVE-2022-33980
CVE-2022-29599
CVE-2022-40149
CVE-2019-20916
CVE-2021-34798
CVE-2022-43551
CVE-2022-45693
CVE-2018-14371
CVE-2022-45685
CVE-2021-31684
CVE-2023-21996
CVE-2023-21931
CVE-2023-21964
CVE-2023-21979
CVE-2020-25638
CVE-2021-37533
CVE-2020-6950
CVE-2022-34305
CVE-2020-13954
CVE-2023-21956
CVE-2023-22899
CVE-2023-21960
CVE-2021-22569
CVE-2022-31160
CVE-2022-1587
CVE-2021-4048
CVE-2020-28052
CVE-2019-10086
CVE-2021-23926
CVE-2023-21910
CVE-2023-21970
CVE-2023-21952
CVE-2023-21965
CVE-2021-27568
CVE-2018-1000656
CVE-2023-21941
CVE-2019-18935
CVE-2023-21923
CVE-2023-21922
CVE-2023-21993
CVE-2023-21924
CVE-2023-21926
CVE-2023-21921
CVE-2023-21925
CVE-2023-23914
CVE-2022-3479
CVE-2023-25136
CVE-2023-21932
CVE-2021-2351
CVE-2020-17521
CVE-2020-11987
CVE-2020-25649
CVE-2021-35043
CVE-2023-21930
CVE-2023-21967
CVE-2023-21954
CVE-2023-21986
CVE-2023-21939
CVE-2023-21938
CVE-2023-21968
CVE-2023-21937
CVE-2022-28738
CVE-2022-2274
CVE-2022-21824
CVE-2018-1311
CVE-2022-25857
CVE-2021-30129
CVE-2021-41973
CVE-2020-15250
CVE-2021-36373
CVE-2023-21936
CVE-2023-21927
CVE-2020-8908
CVE-2022-43548
CVE-2023-21912
CVE-2023-21980
CVE-2023-21946
CVE-2023-21929
CVE-2023-21971
CVE-2023-21911
CVE-2023-21962
CVE-2023-21919
CVE-2023-21933
CVE-2023-21972
CVE-2023-21966
CVE-2023-21913
CVE-2023-21917
CVE-2023-21920
CVE-2023-21935
CVE-2023-21945
CVE-2023-21976
CVE-2023-21977
CVE-2023-21982
CVE-2023-21953
CVE-2023-21955
CVE-2023-21940
CVE-2023-21947
CVE-2023-21963
CVE-2020-14343
CVE-2023-21992
CVE-2023-21916
CVE-2023-21981
CVE-2022-23181
CVE-2021-44832
CVE-2021-3712
CVE-2020-7712
CVE-2023-21909
CVE-2021-37695
CVE-2023-21948
CVE-2023-21985
CVE-2023-21896
CVE-2023-21984
CVE-2023-22003
CVE-2023-21928
CVE-2022-23305
CVE-2020-13936
CVE-2023-21990
CVE-2023-21987
CVE-2022-42916
CVE-2023-22002
CVE-2023-21989
CVE-2023-21998
CVE-2023-22000
CVE-2023-22001
CVE-2023-21988
CVE-2023-21999
CVE-2023-21991

Tags: #Oracle #Parche #Vulnerabilidad #PatchDay

Fuentes utilizadas

https://www.oracle.com/security-alerts/cpu...

Productos Afectados

Producto	Versión
JD Edwards EnterpriseOne Orchestrator	versiones anteriores a la 9.2.7.3
JD Edwards EnterpriseOne Tools	versiones anteriores a la 9.2.7.3
Seguridad mundial de JD Edwards	versión A9.4
Motor de gestión en la nube	versión 22.1.0.0.0
MySQL Cluster	versiones 7.5.29 y anteriores 7.6.25 y anteriores 8.0.32 y anteriores
MySQL Connectors	versiones 8.0.32 y anteriores
MySQL Enterprise Monitor	versiones 8.0.33 y anteriores
MySQL Server	versiones 5.7.41 y anteriores 8.0.32 y anteriores
MySQL Workbench	versiones 8.0.32 y anteriores
Administrador de acceso de Oracle	versión 12.2.1.4.0
Oracle Agile PLM	versión 9.3.6
Conjunto de pruebas de aplicaciones de Oracle	versión 13.3.0.1
Oracle Argus Insight	versiones anteriores a la 8.2.3
Oracle Argus Safety	versiones anteriores a la 8.2.3
API de Oracle Banking	versiones 18.2 18.3 19.1 19.2 21.1 22.1 22.2
Oracle Banking Corporate Lending	versiones 14.0-14.3 14.5-14.7
Oracle Banking Corporate Lending Process Management	versiones 14.4-14.7
Oracle Banking Digital Experience	versiones 18.2 18.3 19.1 19.2 21.1 22.1 22.2
Oracle Banking Payments	versiones 14.5 14.6 14.7
Oracle Banking Trade Finance	versiones 14.5 14.6 14.7
Oracle Banking Treasury Management	versiones 14.5 14.6 14.7
Oracle Banking Virtual Account Management	versiones 14.5 14.6 14.7
Oracle BI Publisher	versiones 6.4.0.0.0 12.2.1.4.0
Oracle Big Data Spatial y Graph	versiones anteriores a la 23.1
Oracle Blockchain Platform	versiones anteriores a la 21.1.3
Oracle Business Intelligence Enterprise Edition	versiones 5.9.0.0.0 6.4.0.0.0 12.2.1.4.0
Oracle Business Process Management Suite	versión 12.2.1.4.0
Oracle Clinical Remote Data Capture	versión 5.4.0.2
Oracle Coherence	versiones 12.2.1.4.0 14.1.1.0.0
Búsqueda guiada de Oracle Commerce	versión 11.3.2
Oracle Commerce Platform	versiones 11.3.0 11.3.1 11.3.2
Consola de configuración nativa de Oracle Communications Cloud	versiones 22.4.1 23.1.0
Oracle Communications Cloud Native Core Automated Test Suite	versiones 22.3.1 22.4.0
Oracle Communications Cloud Native Core Binding Support Function	versiones 22.4.0-22.4.4 23.1.0-23.1.1
Oracle Communications Cloud Native Core Console	versiones 22.3.0 22.4.0
Oracle Communications Cloud Native Core Network Exposure Function	versiones 22.4.2 23.1.0
Oracle Communications Cloud Native Core Network Function Cloud Native Environment	versión 22.4.0
Oracle Communications Cloud Native Core Network Repository Function	versión 23.1.0
Política de Oracle Communications Cloud Native Core	versiones 22.4.0-22.4.4 23.1.0-23.1.1
Oracle Communications Cloud Native Core Security Edge Protection Proxy	versiones 22.4.0 22.4.1 22.4.2 23.1.0
Oracle Communications Cloud Native Core Service Communication Proxy	versiones 22.3.0 22.4.0
Repositorio de datos unificados de Oracle Communications Cloud Native Core	versiones 22.4.1 23.1.0
Controlador de carga convergente de Oracle Communications	versiones 6.0.1.0.0 12.0.1.0.0-12.0.6.0.0
Oracle Communications Core Session Manager	versiones 8.45 9.15
Enrutador de señalización de diámetro de Oracle Communications	versión 8.6.0.0
Oracle Communications Element Manager	versiones 9.0.0 9.0.1
Oracle Communications IP Service Activator	versiones 7.4.0 7.5.0
Carga y control de Oracle Communications Network	versiones 6.0.1.0.0 12.0.1.0.0-12.0.6.0.0
Monitor de operaciones de comunicaciones de Oracle	versión 5.0
Oracle Communications Order and Service Management	versión 7.4.1
Administración de políticas de comunicaciones de Oracle	versión 12.6.0.0.0
Oracle Communications Services Gatekeeper	versión 7.0.0.0.0
Oracle Communications Session Border Controller	versiones 9.0 9.1
Oracle Communications Session Report Manager	versiones 9.0.0 9.0.1
Oracle Communications Session Router	versiones 9.0 9.1
Oracle Communications Subscriber-Aware Load Balancer	versiones 9.0 9.1
Oracle Communications Unified Assurance	versiones 5.5.0-5.5.10 6.0.0-6.0.2
Oracle Communications Unified Inventory Management	versiones 7.4.0 7.4.1 7.4.2 7.5.0
Repositorio de datos de usuario de Oracle Communications	versión 12.6.1.0.0
Integrador de datos de Oracle	versión 12.2.1.4.0
Servidor de base de datos Oracle	versiones 19c 21c
Oracle Documaker	versiones 12.6.0.0.0 12.6.2.0.0-12.6.4.0.0 12.7.0.0.0 12.7.1.0.0
Oracle E-Business Suite	versiones 12.2.3-12.2.12
Oracle Enterprise Communications Broker	versiones 3.3 4.0
Oracle Enterprise Manager Ops Center	versión 12.4.0.0
Enrutador de sesión empresarial de Oracle	versión 9.1
Oracle Essbase	versión 21.4
Oracle Financial Services Analytical Applications Infrastructure	versiones 8.0.7.0 8.0.8.0 8.0.9.0 8.1.0.0 8.1.1.0 8.1.2.0 8.1.2.1 8.1.2.2
Oracle Financial Services Analytical Applications Reconciliation Framework	versiones 8.0.7.1.2 8.1.1.1.7
Oracle Financial Services Asset Liability Management	versión 8.0.7.8.0
Oracle Financial Services Balance Computation Engine	versión 8.1.1.1.1
Oracle Financial Services Balance Sheet Planning	versión 8.0.8.1.4
Plataforma de detección de comportamiento de Oracle Financial Services	versiones 8.0.8.1 8.1.1.1 8.1.2.3 8.1.2.4
Oracle Financial Services Compliance Studio	versión 8.1.2.4
Oracle Financial Services Crime and Compliance Management Studio	versión 8.0.8.3.5
Oracle Financial Services Currency Transaction Reporting	versiones 8.0.8.1.0 8.1.1.1.0 8.1.2.3.0 8.1.2.4.1
Oracle Financial Services Data Governance para informes reglamentarios de EE. UU.	versiones 8.1.2.0 8.1.2.1
Oracle Financial Services Data Integration Hub	versiones 8.0.7.3.1 8.1.0.1.4 8.1.2.2.1
Oracle Financial Services Deposit Insurance Calculations for Liquidity Risk Management	versiones 8.0.7.3.1 8.0.8.3.1
Oracle Financial Services Enterprise Case Management	versiones 8.0.8.2 8.1.1.1 8.1.2.3 8.1.2.4
Oracle Financial Services Enterprise Financial Performance Analytics	versión 8.0.7.8.1
Precios de transferencia de fondos de Oracle Financial Services	versión 8.0.7.8.1
Oracle Financial Services Institutional Performance Analytics	versión 8.0.7.8.1
Medición y gestión del riesgo de liquidez de Oracle Financial Services	versiones 8.0.7.3.1 8.0.8.3.1
Oracle Financial Services Loan Loss Forecasting and Provisioning	versiones 8.0.7.8.1 8.0.8.2.1
Gobernanza y gestión de modelos de Oracle Financial Services	versiones 8.1.0.0 8.1.2.0
Oracle Financial Services Profitability Management	versión 8.0.7.8.1
Oracle Financial Services Regulatory Reporting	versiones 8.0.8.1 8.1.1.1 8.1.2.3 8.1.2.4
Oracle Financial Services Regulatory Reporting con AgileREPORTER	versión 8.1.1.2.0
Oracle Financial Services Retail Performance Analytics	versión 8.0.7.8.1
Oracle Financial Services Revenue Management and Billing	versiones 2.7 2.7.1 2.8 2.9 2.9.1 3.0 3.1 3.2 4.0
Oracle Financial Services Trade-Based Anti Money Laundering Enterprise Edition	versión 8.0.8.0.0
Oracle FLEXCUBE Core Banking	versiones 11.6 11.7 11.8 11.10 11.11
Oracle FLEXCUBE Universal Banking	versiones 14.0-14.3 14.5-14.7
Oracle GoldenGate	versiones anteriores a 19.1.0.0.230418 anteriores a 21.10.0.0.0
Oracle GoldenGate Studio	versión [Fusion Middleware] 12.2.1.4.0
Oracle GraalVM Enterprise Edition	versiones 20.3.8 20.3.9 21.3.4 21.3.5 22.3.0 22.3.1
Oracle Graph Server and Client	versiones anteriores a la 23.1.0 anteriores a la 23.2.0
Oracle Health Sciences InForm	versiones anteriores a la 6.3.1.3 anteriores a la 7.0.0.1
Oracle Healthcare Foundation	versiones 8.1.0 8.1.1 8.2.0 8.2.1 8.2.2
Oracle Healthcare Master Person Index	versiones 5.0.0-5.0.4
Oracle Healthcare Translational Research	versiones 4.1.0 4.1.1
Oracle Hospitality OPERA 5 Property Services	versión 5.6
Servidor HTTP de Oracle	versión 12.2.1.4.0
Informes financieros de Oracle Hyperion	versión 11.2.12
Tecnología de infraestructura Oracle Hyperion	versión 11.2.12
Oracle Identity Manager	versión 12.2.1.4.0
Oracle iLearning	versión 6.3.1
Almacén de datos operativos de Oracle Insurance Policy Administration para Life and Annuity	versión 1.0.1.8
Oracle Java SE	versiones 8u361 8u361-perf 11.0.18 17.0.6 20
Oracle JDeveloper	versión 12.2.1.4.0
Transferencia de archivos administrados de Oracle	versión 12.2.1.4.0
Herramientas y bibliotecas comunes de Oracle Middleware	versión 12.2.1.4.0
Base de datos Oracle NoSQL	versiones anteriores a la 19.5.32
Oracle Outside In Technology	versión 8.5.6
Oracle REST Data Services	versiones anteriores a la 23.1.0
Oracle Retail Customer Management and Segmentation Foundation	versiones 18.0.0.12 19.0.0.6
Oracle Retail Fiscal Management	versión 14.2
Oracle Retail Invoice Matching	versiones 15.0.3 16.0.3
Oracle Retail Merchandising System	versiones 15.0.3.1 16.0.2 16.0.3
Oracle Retail Predictive Application Server	versiones 15.0.3 16.0.3
Oracle Retail Price Management	versiones 14.1.3.2 15.0.3.1 16.0.3
Oracle Retail Sales Audit	versión 15.0.3.1
Oracle Retail Xstore Office Cloud Service	versiones 18.0.5 19.0.4 20.0.3 21.0.2
Oracle Retail Xstore Point of Service	versiones 17.0.6 18.0.5 19.0.4 20.0.3 21.0.2
Oracle SD-WAN Aware	versión 9.0.1.6.0
Oracle SD-WAN Edge	versiones 9.1.1.3.0 9.1.1.4.0
Oracle SOA Suite	versión 12.2.1.4.0
Oracle Solaris	versiones 10 11
Oracle SQL Developer	versiones anteriores a la 22.4.0 anteriores a la 23.1.0
Oracle TimesTen In-Memory Database	versiones anteriores a 22.1.1.7.0
Oracle Utilities Application Framework	versiones 4.2.0.3.0 4.3.0.1.0-4.3.0.6.0 4.4.0.0.0 4.4.0.2.0 4.4.0.3.0 4.5.0.0.0
Oracle Utilities Network Management System	versiones 2.3.0.2 2.4.0.1 2.5.0.0 2.5.0.1 2.5.0.2
Oracle VM VirtualBox	versiones anteriores a la 6.1.44 anteriores a la 7.0.8
Portal Oracle WebCenter	versión 12.2.1.4.0
Sitios de Oracle WebCenter	versión 12.2.1.4.0
Servidor Oracle WebLogic	versiones 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0
PeopleSoft Enterprise HCM Recursos Humanos	versión 9.2
PeopleSoft Enterprise PeopleTools	versiones 8.58 8.59 8.60
Primavera P6 Enterprise Project Portfolio Management	versiones 18.8.0-18.8.26 19.12.0-19.12.21 20.12.0-20.12.18 21.12.0-21.12.12 22.12.0-22.12.3
Primavera Unifier	versiones 18.8.0-18.8.18 19.12.0-19.12.16 20.12.0-20.12.16 21.12.0-21.12.14 22.12.0-22.12.3
Aplicaciones de Siebel	versiones 21.10 y anteriores 22.10 y anteriores 23.3 y anteriores