28 de octubre de 2019

ESTEGANOGRAFÍA. Código malicioso oculto en archivos de audio WAV.

Investigadores de Blackberry Cylance Threat han descubierto recientemente código malicioso ofuscado dentro de archivos de audio en formato WAV. Al parecer, los archivos WAV incorporaban ocultos droppers para decodificar y ejecutar posteriormente código malicioso.
La implementación del código malicioso conseguía, en la mayoría de ocasiones, no corromper las estructuras fundamentales del archivo, permitiendo su reproducción sin anomalía reseñable o pérdida de calidad. En algunos casos, el código malicioso provocaba colateralmente que el contenido reproducido fuera ruido blanco.
El análisis de los investigadores revelaba que el código malicioso estaba relacionado con el minero XMRig Monero. También se han hallado evidencias en los archivos maliciosos de código directamente relacionado con el famoso framework de explotación Metasploit. Concretamente, el código encontrado se encargaba de generar una conexión reversa y entregar una shell al atacante.
Los droppers de los archivos maliciosos encargados de decodificar y llamar posteriomente al minero, son clasificados, fundamentalmente, en tres grupos según los investigadores:
  • Aquellos que emplean esteganografía de tipo LSB (Least Significant Bit) para ejecutar un archivo portable.
  • Otros que emplean un algoritmo de decodificación basado en un método de aleatorización rand() para decodificar y ejecutar un archivo portable.
  • Finalmente, muestras que emplean un algoritmo de decodificación basado en un método de aleatorización rand() para decodificar y ejecutar una shellcode.
La variedad de aproximaciones válidas para la inyección de estos payloads demuestra la viabilidad de la esteganografía como vector de infección a través del ocultamiento de código ejecutable en prácticamente cualquier tipo de archivo siempre que el atacante sea capaz de no corromper la estructura fundamental del contenedor.
A continuación se listan algunas de las firmas SHA-256 de los archivos implicados, para su comprobación y estudio en VirusTotal:
·        595A54F0BBF297041CE259461AE8A12F37FB29E5180705EAFB3668B4A491CECC
·        DB043392816146BBE6E9F3FE669459FEA52A82A77A033C86FD5BC2F4569839C9
·        A2923D838F2D301A7C4B46AC598A3F9C08358B763B1973B4B4C9A7C6ED8B6395
·        843CD23B0D32CB3A36B545B07787AC9DA516D20DB6504F9CDFFA806D725D57F0
·        7DC620E734465E2F5AAF49B5760DF634F8EC8EEAB29B5154CC6AF2FC2C4E1F7C
Más información y detalles técnicos:
Fuente: Hispasec

Brecha de seguridad en NordVPN y TorGuard VPN

Los atacantes han tenido acceso a tres claves privadas y a configuraciones de algunos de sus servidores.
La filtración se hizo pública en un hilo de Twitter en el que NordVPN promocionaba sus servicios. En respuesta al ‘tweet’ de la compañía, otro usuario publicaba un enlace a un archivo de texto correspondiente a un fichero de ‘log’ que evidenciaba el robo de información.
El mismo fichero contenía varios ficheros de configuración del software OpenVPN utilizado para proporcionar sus servicios, además de certificados y tres claves privadas.
Dos de las claves RSA correspondían a la configuración de OpenVPN y otra a un certificado ya expirado de tipo ‘wildcard‘ de su dominio.
Aunque las claves filtradas no permiten descifrar el tráfico VPN almacenado y la implementación de ‘forward-secrecy’ en OpenVPN garantiza la seguridad de las claves utilizadas anteriormente, debemos asumir que el atacante tuvo acceso al tráfico durante el ataque. Estas claves además podrían ser utilizadas para realizar ataques ‘man-in-the-middle’.
NordVPN ha confirmado que la brecha se produjo en uno de sus centros de datos en Finlandia en marzo de 2018. El atacante logró explotar una vulnerabilidad en uno de los sistemas de control remoto utilizados por el proveedor y consiguió la información antes expuesta (no se revelaron usuarios ni contraseñas).
El incidente también ha afectado a otros proveedores que utilizaban el mismo centro de datos, como VikingVPN y TorGuard.
En este caso, TorGuard ha sido el único que no se ha visto afectado ya que su clave CA principal estaba almacenada fuera del servidor vulnerado.
NordVPN afirma que es un caso aislado y que ningún otro centro de datos se ha visto afectado.
Más información:
·        Why the NordVPN network is safe after a third-party provider breach https://nordvpn.com/es/blog/official-response-datacenter-breach/
·        Why TorGuard’s Network is Secure After an Isolated 2017 Server Breach https://torguard.net/blog/why-torguards-network-is-secure-after-an-isolated-2017-server-breach/
Fuente: Hispasec

Nuevo malware infecta el cliente de escritorio de Discord

El cliente de voz ‘Discord’ se convierte en el objetivo de un nuevo malware, que lo troyaniza para robar información del sistema.
El investigador ‘MalwareHunterTeam’ descubrió a principios de mes un nuevo malware que tiene como objetivo infectar la aplicación de escritorio de ‘Discord’, un cliente de voz que se ha hecho muy popular entre los ‘gamers’.
Se le conoce con el nombre de ‘Spidey Bot’, y para infectar la aplicación de escritorio de ‘Discord’ añade el código malicioso a los ficheros de código Javascript de la app.
La aplicación está desarrollada utilizando ‘Electron’, que permite desarrollar aplicaciones de escritorio utilizando HTML, CSS y Javascript. El troyano aprovecha este funcionamiento para modificar los ficheros de código de la aplicación y añadir código malicioso.
Una vez añadido el código malicioso, cada vez que el usuario inicia la app de ‘Discord’, se ejecutará también el código malicioso sin que el usuario sospeche.
El código malicioso se añade a los ficheros:
·        %AppData%\Discord[version]\modules\discord_modules\index.js
·        %AppData%\Discord[version]\modules\discord_desktop_core\index.js
Después de infectar los ficheros, este malware reinicia la app de ‘Discord’ para que el código malicioso comience su ejecución. Lo primero que hace este código malicioso es obtener información sobre el sistema en el que se está ejecutando.
Entre la información recopilada y enviada al atacante se incluye:
·        Token de usuario de Discord
·        Zona horaria del sistema
·        Resolución de pantalla
·        IP local
·        IP pública
·        Información del usuario: nombre de usuario, email, teléfono, etc.
·        Información de pagos almacenada
·        Versión de Discord
·        Los 50 primeros caracteres del clipboard de Windows
Después de recopilar y enviar esta información, el troyano ejecutará la función ‘fightdio‘, que se encarga de conectar al servidor de control y esperar comandos que ejecutar en el sistema.
Código de la función ‘fightdio’, encargada de recibir y ejecutar comandos específicos (Imagen BleepingComputer)
El servidor de control ya no se encuentra disponible, pero podrían existir nuevas muestras que utilicen nuevos servidores de control activos.
Más información:
Fuente: Hispasec

PLAY STORE. 8 millones de descargas contenían código malicioso programado por un estudiante

42 aplicaciones albergadas en la Play Store, cuyas descargas suman un total de más de 8 millones, contenían código malicioso. Tras rastrear el origen de las aplicaciones, se atribuyen a un estudiante universitario en Vietnam.
El investigador de ESET, Lukas Stefanko, ha descubierto que 42 aplicaciones alojadas en la Play Store de Google albergaban en realidad adware malicioso que era mostrado a pantalla completa en los dispositivos de las víctimas. Inicialmente, estas aplicaciones eran subidas a la plataforma como aplicaciones legítimas. Era más tarde, aprovechando sucesivas actualizaciones, cuando se actualizaba el código de la aplicación para incluir el código malicioso.
La identidad del estudiante ha podido ser fácilmente rastreada, dado que tampoco él, según las palabras del investigador, hizo demasiados esfuerzos en ocultar su identidad. Entre otras cosas, los detalles de registro asociados a las aplicaciones estaban disponibles de forma pública, incluyendo su nombre, dirección o número de teléfono. Toda esta información fue la que los investigadores utilizaron para llegar a su perfil en Facebook, Github y Youtube.
Dado que todas sus aplicaciones facilitaban al usuario aquellas características que, inicialmente, le eran prometidas en la descripción (radio, descargador de vídeos, juegos) era difícil para los usuarios tomar las aplicaciones como maliciosas o encontrar algo sospechoso.
El componente malicioso de las aplicaciones, un adware de la familia Ashas, conectaba a un servidor remoto de control operado por el desarrollador y automáticamente enviaba información básica sobre el entorno de ejecución y el dispositivo en el que se habían instalado las aplicaciones.
Una vez realizado el primer paso de la comunicación, la aplicación maliciosa recibía los datos de configuración pertinentes de su servidor de control remoto que, en última instancia, era el responsable de mostrar el contenido publicitario malicioso.
En aras de intentar ocultar la funcionalidad maliciosa de los mecanismos de seguridad de Google Play, la aplicación comprobaba antes de nada la dirección IP del dispositivo afectado. Si ésta caía dentro del rango de las IP conocidas atribuidas a los servidores de Google, la aplicación no ejecutaba el payload malicioso.
Además, para evitar que los usuarios fueran capaces de establecer la asociación entre los anuncios que salían en su teléfono y la aplicación recién instalada, el desarrollador estableció unos tiempos de retraso entre la instalación y la primera vez que un anuncio malicioso se le mostraba al usuario.
Otro de los trucos empleados para reducir las sospechas sobre las aplicaciones maliciosas era que éstas ocultaban su propio icono para que los usuarios no pudieran desinstalarla fácilmente arrastrando el icono a la parte superior de la pantalla.
Recomendamos la lectura completa del post del autor, donde se detalla al completo el proceso seguido durante la investigación y se listan además las aplicaciones afectadas, (https://www.welivesecurity.com/2019/10/24/tracking-down-developer-android-adware/ )
Más información:
Fuente: Hispasec

Fallo de ejecución de código en PHP7 configurado con NGINX y PHP-FPM

Un nuevo bug en PHP7 permite tomar el control del servidor vulnerable ejecutando código remoto. El exploit publicado convierte esta hazaña en algo trivial, por lo que es muy posible que esté siendo aprovechada por atacantes «in the wild».
Esta vulnerabilidad (CVE-2019-11043) es una ejecución de código remoto en PHP7, la nueva rama en producción de PHP, uno de los lenguajes de programación más extendidos para sitios web.
La vulnerabilidad afecta a sitios que funcionan con el servidor web NGINX y PHP-FPM, centrándose en una configuración en concreto, la cual es muy común encontrar en webs en producción. Se trata de algo muy sencillo de explotar con este exploit que los investigadores que encontraron la vulnerabilidad han hecho público.
PHP-FPM es una alternativa a PHP FastCGI que gestiona mejor sitios web con mucho tráfico, además de ofrecer un manejo avanzado de los procesos.
La vulnerabilidad principal es un error de underflow memory corruption en «env_paht_info» en el módulo PHP-FMP, que combinándose con otros errores permiten ejecutar código en servidores vulnerables de forma remota.
Andrew Danau descubrió la vulnerabilidad en una competición CTF (Capture The Flag), cuyo objetivo es resolver una serie de retos informáticos. El fallo se encontró a partir de un comportamiento extraño en la parte del servidor al introducir un salto de línea codificado en la URL ‘%0A’. A partir de ese comportamiento Andrew, junto a otros dos investigadores, Emil Lerner y Omar Ganiev, descubrieron el fallo y crearon el exploit, cuya ejecución se realiza en una simple línea de comando.
Un sitio web es vulnerable a la explotación si cumple las siguientes características:
·        Utiliza NGINX y está configurado para reenviar las peticiones al procesador PHP-FPM.
·        Está configurado ‘fast_split_path_info‘ con una expresión regular que comience con ‘^’ y termine con ‘$’ (no contempla un salto de línea).
·        La variable PATH_INFO esta definida con fastcgi_param.
·        No hay comprobaciones como try_files $ uri = 404 o if (-f $ uri) que determinen si un archivo existe o no.
La configuración que se describe puede parecerse a la siguiente:
Se trata de una situación frecuente. Incluso algunos hosting utilizan esta configuración como parte de tutoriales de PHP-FPM. El proveedor de hosting Nextclowd ya ha avisado a sus clientes para que revisen sus servidores, ya que en un manual de instalación anteriormente publicado se utilizaba la configuración vulnerable.
Ayer se lanzó un parche para esta vulnerabilidad, casi un mes después de ser informado al equipo de desarrolladores de PHP, y dado que el exploit ya está disponible es probable que atacantes estén escaneando Internet para encontrar sitios web vulnerables.
Este fallo ha sido catalogado como CVE-2019-11043 y se recomienda encarecidamente que los usuarios actualicen PHP a PHP 7.3.11 y PHP 7.2.24 incluso si no están utilizando la configuración vulnerable.
Más información
·        Bugs.php-net
·        Exploit en GitHub
Fuente: Hispasec

APPLE. Descubiertos 17 «Clickers» en la App Store

Investigadores de seguridad de la empresa Wandera han descubierto 17 aplicaciones fraudulentas en la App Store de Apple. Las aplicaciones se comunicaban con un servidor de control y comando con el objetivo de manipular el acceso a páginas web y anuncios para beneficio económico del atacante.
Los troyanos de tipo «Clicker» están diseñados para acceder a recursos de Internet, generalmente páginas web, con el objetivo de manipular el acceso a anuncios, provocar denegaciones de servicio o redireccionar a la víctima para que descargue o ejecute malware.
Las aplicaciones descubiertas en el repositorio de Apple compartían un módulo que se encargaba de llevar a cabo el acceso fraudulento a anuncios sin el conocimiento del usuario. La aplicación fraudulenta visitaba de forma masiva diferentes páginas webs y realizaba clicks a los anuncios que había configurado el atacante sin la interacción del usuario.
Estos anuncios pertenecen a campañas de marketing de «pago por click (PPC)». Los productos anunciados no tienen necesariamente relación con el atacante, pero la manipulación de las visitas repercutía en un beneficio económico para el atacante.
El listado de aplicaciones afectadas cubre una amplia variedad de categorías:
  • RTO Vehicle Information
  • EMI Calculator & Loan Planner
  • File Manager – Documents
  • Smart GPS Speedometer
  • CrickOne – Live Cricket Scores
  • Daily Fitness – Yoga Poses
  • FM Radio – Internet Radio
  • My Train Info – IRCTC & PNR
  • Around Me Place Finder
  • Easy Contacts Backup Manager
  • Ramadan Times 2019
  • Restaurant Finder – Find Food
  • BMI Calculator – BMR Calc
  • Dual Accounts
  • Video Editor – Mute Video
  • Islamic World – Qibla
  • Smart Video Compressor
Según informa Wandera, el mismo desarrollador, AppAspect Technologies Pvt. Ltd. Contaba con 51 aplicaciones en la App Store, de las cuales 17 estaban infectadas con el «clicker».
El servidor de control y comando es compartido por muestras de similar comportamiento para otras plataformas como Android. El atacante utilizaba una linea de comunicación cifrada para cambiar los anuncios y páginas que se visitan o la configuración de los dispositivos.
Apple ya ha efectuado la retirada de las aplicaciones afectadas de su repositorio e informa que ha actualizado sus sistemas de detección para impedir que muestras similares se cuelen en la App Store.
Más información:
Trojan malware infecting 17 apps on the App Store
Fuente: INCIBE

MICROSOFT. Boletín de seguridad de octubre de 2019

La publicación mensual de actualizaciones de seguridad de Microsoft consta de 59 vulnerabilidades, 10 clasificadas como críticas y 49 como importantes, siendo el resto de severidad media o baja, catalogadas de Importancia: 5 - Crítica
Recursos afectados:
·        Microsoft Windows,
·        Internet Explorer,
·        Microsoft Edge (EdgeHTML-based),
·        ChakraCore,
·        Microsoft Office, Microsoft Office Services y Web Apps,
·        SQL Server Management Studio,
·        Open Source Software,
·        Microsoft Dynamics 365,
·        Windows Update Assistant.
Recomendación
Instalar la actualización correspondiente. En la página de información de instalación de las actualizaciones de seguridad, se informa de los distintos métodos de actualización.
Detalle de vulnerabilidades
Las vulnerabilidades publicadas se corresponden con los siguientes tipos:
·        denegación de servicio,
·        escalada de privilegios,
·        divulgación de información,
·        ejecución remota de código,
·        omisión de la característica de seguridad,
·        suplantación,
·        falsificación.
Más información
Fuente: INCIBE

SAP. Actualización de seguridad de octubre de 2019

SAP ha publicado varias actualizaciones de seguridad de diferentes productos en su comunicado mensual, catalogada de Importancia: 5 - Crítica
Recursos afectados:
  • SAP NetWeaver Process Integration:
  • AS2 Adapter, versiones 1.0 y 2.0;
  • B2B Toolkit, versiones 1.0 y 2.0.
  • SAP Landscape Management enterprise edition, versión 3.0;
  • SAP IQ, versión 16.1;
  • SAP SQL Anywhere, versión 17.0;
  • SAP Dynamic Tiering, versiones 1.0 y 2.0;
  • SAP Customer Relationship Management (Email Management):
  • S4CRM, versiones 100 y 200;
  • BBPCRM, versiones 700, 701, 702, 712, 713 y 714.
  • SAP BusinessObjects Business Intelligence Platform (Web Intelligence HTML interface), versiones 420 y 430;
  • SAP Financial Consolidation, versiones 10.0 y 10.1;
  • SAP Kernel (RFC):
  • KRNL32NUC, KRNL32UC y KRNL64NUC, versiones 7.21, 7.21EXT, 7.22 y 7.22EXT;
  • KRNL64UC, versiones 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49 y 7.73;
  • KERNEL, versiones 7.21, 7.49, 7.53, 7.73 y 7.76.
Detalle de vulnerabilidades:
SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 7 notas de seguridad y 1 actualización, siendo 2 de ellas de severidad crítica, 1 alta, y 5 medias.
El tipo de vulnerabilidades publicadas se corresponde a los siguientes:

  • 3 vulnerabilidades de Cross-Site Scripting (XSS);
  • 1 vulnerabilidad de denegación de servicio;
  • 1 vulnerabilidad de divulgación de información;
  • 1 vulnerabilidad de falta de comprobación de autorización;
  • 1 vulnerabilidad de falta de autenticación;
  • 1 vulnerabilidad de otro tipo.
Las notas de seguridad calificadas como críticas y alta se refieren a:
La configuración del adaptador AS2 permite dos proveedores de seguridad diferentes. Dependiendo del proveedor seleccionado, existe una vulnerabilidad de falta de autenticación que puede conducir al robo o manipulación de datos confidenciales, así como al acceso a funcionalidades administrativas y otras funciones privilegiadas. Se ha asignado el identificador CVE-2019-0379 para esta vulnerabilidad.
SAP Landscape Management Enterprise permite la definición de operaciones personalizadas, cada una de ellas asignadas a un proveedor específico. También se pueden añadir más parámetros personalizados a dicho proveedor. Este producto es vulnerable a una divulgación de información si estos parámetros personalizados cumplen unas condiciones específicas. Se ha asignado el identificador CVE-2019-0380 para esta vulnerabilidad.
Existe una vulnerabilidad en el algoritmo de búsqueda de archivos que afecta a distintos productos. El algoritmo busca en demasiados directorios, incluso si están fuera del ámbito de aplicación. La explotación de esta vulnerabilidad permitiría a un atacante leer, sobrescribir, eliminar y exponer archivos arbitrarios del sistema. También puede llevar al secuestro de DLL, así como a la elevación de privilegios. Se ha asignado el identificador CVE-2019-0381 para esta vulnerabilidad.
Para el resto de vulnerabilidades, se han asignado los siguientes identificadores: CVE-2019-0368, CVE-2019-0374, CVE-2019-0375, CVE-2019-0376, CVE-2019-0377, CVE-2019-0378, CVE-2019-0370, CVE-2019-0369, CVE-2019-0365 y CVE-2019-0367.
Recomendación
Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.
Más información
SAP Security Patch Day – October 2019
SAP Security Notes October '19: Only Nine New Notes, but Two HotNews
Fuente: INCIBE

ORACLE. Actualizaciones críticas de octubre de 2019

Oracle ha publicado una actualización crítica con parches para corregir vulnerabilidades que afectan a múltiples productos, catalogada de Importancia: 5 - Crítica
Recursos afectados:
  • Agile Recipe Management para Pharmaceuticals, versiones 9.3.3 y 9.3.4;
  • Diagnostic Assistant, versión 2.12.36;
  • Enterprise Manager Base Platparam, versiones 13.2 y 13.3;
  • Enterprise Manager para Exadata, versiones 12.1.0.5.0, 13.2.2.0.0, 13.3.1.0.0 y 13.3.2.0.0;
  • Enterprise Manager Ops Center, versiones 12.3.3 y 12.4.0;
  • Fujitsu M10-1, M10-4, M10-4S, M12-1, M12-2, M12-2S Servers, versiones anteriores a XCP2361 y anteriores a XCP3071;
  • Hyperion Data Relationship Management, versión 11.1.2.4;
  • Hyperion Enterprise Perparamance Management Architect, versión 11.1.2.4;
  • Hyperion Financial Reporting, versión 11.1.2.4;
  • Instantis EnterpriseTrack, versiones 17.1, 17.2 y 17.3;
  • JD Edwards EnterpriseOne Tools, versión 4.0.1.0;
  • MICROS Relate CRM Software, versiones 7.1.0, 11.4, 15.0.0, 16.0.0, 17.0.0 y 18.0.0;
  • MICROS Retail XBRi Loss Prevention, versión 10.8.3;
  • MySQL Connectors, versiones 5.3.13 y anteriores, 8.0.17 y anteriores;
  • MySQL Enterprise Monitor, versiones 8.0.17 y anteriores;
  • MySQL Server, versiones 5.6.45 y anteriores, 5.7.27 y anteriores, 8.17 y anteriores;
  • MySQL Workbench, versiones 8.0.17 y anteriores;
  • Oracle Agile PLM, versiones 9.3.3-9.3.6;
  • Oracle Agile Product Lifecycle Management para Process, versiones 6.2.0.0, 6.2.1.0, 6.2.2.0 y 6.2.3.0;
  • Oracle API Gateway, versión 11.1.2.4.0;
  • Oracle Application Testing Suite, versiones 13.2 y 13.3;
  • Oracle Banking Digital Experience, versiones 18.1, 18.2, 18.3 y 19.1;
  • Oracle Banking Platparam, versiones 2.4.0, 2.4.1, 2.5.0, 2.6.0, 2.6.1, 2.7.0 y 2.7.1;
  • Oracle BI Publisher, versiones 11.1.1.9.0, 12.2.1.3.0 y 12.2.1.4.0;
  • Oracle Business Intelligence Enterprise Edition, versiones 11.1.1.9.0, 12.2.1.3.0 y 12.2.1.4.0;
  • Oracle Clusterware, versión 19.0.0.0.0;
  • Oracle Data Integrator, versión 12.2.1.3.0;
  • Oracle Database Server, versiones 11.2.0.4, 12.1.0.2, 12.2.0.1, 18c y 19c;
  • Oracle E-Business Suite, versiones 12.1.1-12.1.3 y 12.2.3-12.2.9;
  • Oracle Enterprise Repository, versión 12.1.3.0.0;
  • Oracle Financial Services Analytical Applications Infrastructure, versiones 8.0.2-8.0.8;
  • Oracle Financial Services Enterprise Financial Perparamance Analytics, versiones 8.0.6 y 8.0.7;
  • Oracle Financial Services Retail Perparamance Analytics, versiones 8.0.6 y 8.0.7;
  • Oracle FLEXCUBE Direct Banking, versiones 12.0.2 y 12.0.3;
  • Oracle params, versión 12.2.1.3.0;
  • Oracle GoldenGate Application Adapters, versión 12.3.2.1.0;
  • Oracle GraalVM Enterprise Edition, versión 19.2.0;
  • Oracle Healthcare Foundation, versiones 7.1.1 y 7.2.2;
  • Oracle Healthcare Translational Research, versiones 3.1.0, 3.2.1 y 3.3.1;
  • Oracle Hospitality Cruise Dining Room Management, versión 8.0.80;
  • Oracle Hospitality Guest Access, versiones 4.2.0 y 4.2.1;
  • Oracle Hospitality Materials Control, versión 18.1;
  • Oracle Hospitality Reporting y Analytics, versión 9.1.0;
  • Oracle Hospitality RES 3700, versión 5.7;
  • Oracle Java SE, versiones 7u231, 8u221, 11.0.4 y 13;
  • Oracle Java SE Embedded, versión 8u221;
  • Oracle JDeveloper y ADF, versiones 11.1.1.9.0, 11.1.2.4.0, 12.1.3.0.0 y 12.2.1.3.0;
  • Oracle NoSQL Database, versiones anteriores a 19.3.12;
  • Oracle Outside In Technology, versión 8.5.4;
  • Oracle Policy Automation, versiones 10.4.7, 12.1.0, 12.1.1 y 12.2.0-12.2.15;
  • Oracle Policy Automation Connector para Siebel, versión 10.4.6;
  • Oracle Policy Automation para Mobile Devices, versiones 12.2.0-12.2.15;
  • Oracle Retail Customer Insights, versiones 15.0 y 16.0;
  • Oracle Retail Customer Management y Segmentation Foundation, versión 17.0;
  • Oracle Retail Integration Bus, versiones 15.0 y 16.0;
  • Oracle Retail Xstore Office, versión 7.1;
  • Oracle Retail Xstore Point of Service, versiones 7.1, 15.0, 16.0, 17.0, 17.0.3, 18.0, 18.0.1 y 19.0.0;
  • Oracle Service Bus, versiones 11.1.1.9.0, 12.1.3.0.0 y 12.2.1.3.0;
  • Oracle SOA Suite, versión 12.2.1.3.0;
  • Oracle Solaris, versiones 10 y 11;
  • Oracle Virtual Directory, versión 11.1.1.9.0;
  • Oracle VM VirtualBox, versiones anteriores a 5.2.34 y anteriores a 6.0.14;
  • Oracle Web Services, versión 12.2.1.3.0;
  • Oracle WebCenter Portal, versión 12.2.1.3.0;
  • Oracle WebLogic Server, versiones 10.3.6.0.0, 12.1.3.0.0 y 12.2.1.3.0;
  • PeopleSoft Enterprise HCM Human Resources, versión 9.2;
  • PeopleSoft Enterprise PeopleTools, versiones 8.56 y 8.57;
  • PeopleSoft Enterprise SCM eProcurement, versión 9.2;
  • Primavera Gateway, versiones 15.2, 16.2, 17.12 y 18.8;
  • Primavera P6 Enterprise Project Portfolio Management, versiones 15.1.0-15.2.18, 16.1.0-16.2.18, 17.1.0-17.12.14 y 18.1.0-18.8.13;
  • Primavera Unifier, versiones 16.1, 16.2, 17.7-17.12 y 18.8;
  • Siebel Applications, versiones 19.8 y anteriores.
Recomendación
Aplicar los parches correspondientes según los productos afectados. La información para descargar las actualizaciones puede obtenerse del boletín de seguridad publicado por Oracle.
Detalle de vulnerabilidades
Esta actualización resuelve un total de 219 vulnerabilidades, algunas de las cuales son críticas. El detalle de las vulnerabilidades resueltas se puede consultar en el enlace de Oracle de la sección de Referencias.
Más información
Oracle Critical Patch Update Advisory - October 2019
Fuente: INCIBE