Oracle
publica su actualización correspondiente al mes de abril. Contiene parches para
284 nuevas vulnerabilidades diferentes en múltiples productos pertenecientes a
diferentes familias, que van desde el popular gestor de base de datos Oracle
Database hasta Solaris, Java o MySQL.
Productos afectados
Los fallos
se dan en varios componentes de múltiples productos y como es habitual la lista
completa de productos afectados es cada vez más extensa. Se concreta en las
siguientes familias:
1. Oracle Database Server
2. Oracle Communications Applications
3. Oracle Construction and Engineering Suite
4. Oracle E-Business Suite
5. Oracle Enterprise Manager Products Suite
6. Oracle Financial Services Applications
7. Oracle Food and Beverage Applications
8. Oracle Fusion Middleware
9. Oracle Health Sciences Applications
10.Oracle Hospitality Applications
11.Oracle Hyperion
12.Oracle Insurance Applications
13.Oracle Java SE
14.Oracle JD Edwards Products
15.Oracle MySQL
16.Oracle PeopleSoft Products
17.Oracle Retail Applications
18.Oracle Siebel CRM
19.Oracle Sun Systems Products Suite
20.Oracle Supply Chain Products Suite
21.Oracle Support Tools
22.Oracle Utilities Applications
23.Oracle Virtualization
Detalle de vulnerabilidades
·
Tres nuevas vulnerabilidades corregidas en Oracle
Database Server, ninguna es explotable de forma remota sin autenticación.
·
33 nuevas vulnerabilidades afectan a Oracle
Communications (29 de ellas podrían ser explotadas por un atacante remoto sin
autenticar).
·
4 nuevos parches para la suite Oracle Construction
and Engineering, todas explotables remotamente sin autenticación.
·
Otras 16 vulnerabilidades explotables de forma
remota y sin autenticación en la suite de Oracle E-Business.
·
11 nuevas vulnerabilidades en Oracle Enterprise
Manager (9 de ellas explotables remotamente por un usuario sin autenticar).
·
Otros 9 parches que solucionan vulnerabilidades
explotables remotamente y sin autenticación en Oracle Financial Services.
·
6 nuevos parches para las aplicaciones de Oracle
Food and Beverage (3 de ellos solucionan vulnerabilidades explotables por un
usuario remoto no autenticado).
·
62 parches para Oracle Fusion Middleware (57 de
estos arreglan fallos que pueden ser explotables de forma remota sin
autenticación).
·
6 vulnerabilidades en Oracle Health Sciences, de
las cuales, 2 podrían ser explotadas por un atacante remoto sin autenticar.
·
5 nuevas vulnerabilidades en Oracle Hospitality
Applications (ninguna de ellas es explotable remotamente sin autenticación).
·
Una vulnerabilidad en Oracle Hyperion, no explotable
de forma remota.
·
Referente a Oracle Insurance Applications, se han
publicado 5 nuevos parches, tres de los cuales son explotables de forma remota
sin autenticación.
·
En cuanto a Oracle Java SE, se han corregido 5
nuevas vulnerabilidades que pueden ser explotadas por un atacante remoto sin
autenticar.
·
La actualización para Oracle JD Edwards corrige 2
vulnerabilidades explotables remotamente sin autentcación.
·
Otras 30 actualizaciones de seguridad para Oracle
MySQL (3 de ellas corrigen vulnerabilidades explotables de forma remota sin
autenticación).
·
Una actualización en Oracle People Soft soluciona
20 problemas de seguridad, 15 de ellos pueden ser explotados por un atacante
remoto sin autenticar.
·
También se solucionan 16 nuevas vulnerabilidades en
Oracle Retail Applications (15 de ellas son explotables de forma remota sin
autenticación).
·
Un nuevo parche para Oracle Siebel CRM que corrige
una vulnerabilidad explotable remotamente.
·
11 nuevas vulnerabilidades para Oracle Sun Systems
(5 de ellas podrían ser explotadas por un atacante remoto sin autenticación).
·
Otras 5 actualizaciones de seguridad para Oracle
Supply Chain, 4 de estas podrían ser explotadas de forma remota sin
autenticación.
·
Una vulnerabilidad en Oracle Support Tools, que
podría ser explotada remotamente.
·
Adicionalmente se solucionan 2 nuevas
vulnerabilidades en Oracle Utilities Applications, ambas serían explotables por
un atacante remoto sin autenticar.
·
Por último, también se ha publicado una
actualización que soluciona 30 fallos de seguridad en Oracle Virtualization (4
de estos fallos podría ser explotados por un atacante remoto sin
autenticación).
Mas información
Se
recomienda comprobar las matrices de productos afectados, gravedad y la
disponibilidad de parches, disponibles desde la notificación oficial en:
·
Oracle Critical Patch Update Advisory – January
2019 https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html
Fuente:
Hispasec