La semana pasada, Oracle ha lanzado sus parches trimestrales siendo una de sus mayores actualizaciones de seguridad de los últimos años con 441 parches críticos liberados, solucionando 372 vulnerabilidades en diversos producto.

Entre estas, más de 30 vulnerabilidades han sido clasificadas con una severidad superior a 9.5 en la escala CVSSv3, destacando la urgencia de aplicar estos parches.

Entre las vulnerabilidades más críticas se encuentran:

• CVE-2024-21234: Ejecución de código remoto en Oracle WebLogic Server. Se recomienda aplicar inmediatamente el parche disponible.
• CVE-2024-21235: Ejecución de código remoto en Oracle Fusion Middleware. Actualización crítica necesaria para prevenir accesos no autorizados.
• CVE-2024-21236: Ejecución de código remoto en Oracle Database Server. Se urge a los usuarios a actualizar a versiones seguras lo antes posible.

🔴 Riesgos Asociados:

• Gobierno (grandes y medianas entidades, y entidades pequeñas): ALTO
• Empresas (grandes y medianas empresas, y pequeñas empresas): ALTO
• Usuarios domésticos: BAJO

🛡️ Acciones de Remediación:

Este proceso proactivo para nosotros implica reaccionar sobre la liberación del producto oficial, supervisar su incidencia sobre la infrastructura de nuestro cliente para poder diseñar una estrategia de parcheo que pasa en muchos casos por diferentes procesos manuales por la complejidad que llevan implícitas muchas de estas aplicaciones.

🔴 Productos y versiones afectadas:

Autonomous Health Framework

Management Cloud Engine

MySQL

Oracle Banking

OPatch

Oracle Access Manager

Oracle Agile

Oracle Application Testing Suite

Oracle BI

Oracle Big Data

Oracle Business Intelligence

Oracle Coherence

Oracle Commerce

Oracle Communications

Oracle Data Integrator

Oracle Database Server

Oracle Documaker

Oracle EBusiness

Oracle Enterprise Data Quality

Oracle Enterprise Manager

Oracle Essbase

Oracle Financial Services

Oracle FLEXCUBE Private Banking

Oracle Fusion

Oracle Global Lifecycle Management NextGen

Oracle GoldenGate

Oracle GraalVM

Oracle Healthcare

Oracle Hospitality

Oracle HTTP Server

Oracle Hyperion

Oracle Identity

Oracle Internet Directory

Oracle Java SE

Oracle Life Sciences

Oracle Managed File Transfer

Oracle Middleware Common Libraries and Tools

Oracle Outside In Technology

Oracle Retail

Oracle SDWAN Edge

Oracle Smart View for Office

Oracle SOA Suite

Oracle Solaris

Oracle StorageTek Tape Analytics

Oracle TimesTen InMemory Database

Oracle Transportation Management

Oracle Utilities

Oracle VM VirtualBox

Oracle Web Services

Oracle WebCenter

Oracle WebLogicOracle ZFS Storage Appliance Kit

OSS Support Tools

PeopleSoft Enterprise

Primavera

Siebel

Mas info:

Alerta de Seguridad de Oracle

https://www.cisecurity.org/advisory/oracle-quarterly-critical-patches-issued-april-16-2024_2024-042