Publicado el

Actualizaciones críticas en Oracle

Oracle ha publicado una actualización crítica con parches para corregir vulnerabilidades, que afectan a múltiples productos.

Análisis

Esta actualización resuelve 334 vulnerabilidades, algunas de las cuales son críticas divididas de la siguiente manera:

6 para Oracle Database Products,
3 para Oracle Application Express,
7 para Oracle Blockchain Platform,
1 para Oracle Essbase,
4 para Oracle GoldenGate,
1 para Oracle NoSQL Database,
2 para Oracle Secure Backup,
1 para Oracle SQL Developer.

Recursos afectados

    • Autonomous Health Framework, versiones anteriores a 24.9;
    • GoldenGate Stream Analytics, versiones 19.1.0.0.0-19.1.0.0.9;
    • Management Cloud Engine, versión 24.1.0.0.0;
    • MySQL Client, versiones 8.0.39 y anteriores, 8.4.2 y anteriores, 9.0.1 y anteriores;
    • MySQL Cluster, versiones 7.5.35 y anteriores, 7.6.31 y anteriores, 8.0.39 y anteriores, 8.4.2 y anteriores, 9.0.1 y anteriores;
    • MySQL Connectors, versiones 9.0.0 y anteriores;
    • MySQL Enterprise Backup, versiones 8.0.39 y anteriores, 8.4.2 y anteriores, 9.0.1 y anteriores;
    • MySQL Enterprise Monitor, versiones 8.0.39 y anteriores;
    • MySQL Server, versiones 8.0.39 y anteriores, 8.4.2 y anteriores, 9.0.1 y anteriores;
    • MySQL Shell, versiones 8.0.38 y anteriores, 8.4.1 y anteriores, 9.0.1 y anteriores;
    • MySQL Workbench, versiones 8.0.38 y anteriores;
    • Oracle Access Manager, versión 12.2.1.4.0;
    • Oracle Agile PLM, versión 9.3.6;
    • Oracle Application Express, versiones 23.1, 23.2, 24.1;
    • Oracle Application Testing Suite, versión 13.3.0.1;
    • Oracle Autovue for Agile Product Lifecycle Management, versión 21.1.0;
    • Oracle Banking APIs, versiones 19.2.0.0.0, 21.1.0.0.0, 22.1.0.0.0, 22.2.0.0.0;
    • Oracle Banking Cash Management, versiones 14.7.4.0.0, 14.7.5.0.0;
    • Oracle Banking Corporate Lending Process Management, versiones 14.4.0.0.0, 14.5.0.0.0, 14.6.0.0.0, 14.7.0.0.0;
    • Oracle Banking Digital Experience, versiones 19.2.0.0.0, 21.1.0.0.0, 22.1.0.0.0, 22.2.0.0.0;
    • Oracle Banking Liquidity Management, versiones 14.5.0.12.0, 14.7.0.6.0, 14.7.4.0.0, 14.7.5.0.0;
    • Oracle Banking Supply Chain Finance, versiones 14.7.4.0.0, 14.7.5.0.0;
    • Oracle BI Publisher, versiones 7.0.0.0.0, 7.6.0.0.0, 12.2.1.4.0;
    • Oracle Blockchain Platform, versión 21.1.2;
    • Oracle Business Activity Monitoring, versión 12.2.1.4.0;
    • Oracle Business Intelligence Enterprise Edition, versiones 7.0.0.0.0, 7.6.0.0.0, 12.2.1.4.0;
    • Oracle Business Process Management Suite, versión 12.2.1.4.0;
    • Oracle Commerce Guided Search, versiones 11.3.2, 11.4.0;
    • Oracle Commerce Platform, versiones 11.3.0, 11.3.1, 11.3.2;
    • Oracle Communications ASAP, versión 7.4.3.0.2;
    • Oracle Communications Cloud Native Core Automated Test Suite, versiones 23.4.3, 23.4.4, 24.1.1, 24.2.2;
    • Oracle Communications Cloud Native Core Binding Support Function, versiones 23.4.0-23.4.5;
    • Oracle Communications Cloud Native Core Certificate Management, versiones 23.4.2, 23.4.3, 24.2.0;
    • Oracle Communications Cloud Native Core Console, versiones 23.4.2, 24.2.0;
    • Oracle Communications Cloud Native Core DBTier, versiones 24.1.0, 24.2.0;
    • Oracle Communications Cloud Native Core Network Function Cloud Native Environment, versiones 23.4.0, 24.1.0-24.2.0;
    • Oracle Communications Cloud Native Core Network Repository Function, versiones 23.4.4, 24.2.1;
    • Oracle Communications Cloud Native Core Network Slice Selection Function, versiones 24.2.0, 24.2.1;
    • Oracle Communications Cloud Native Core Policy, versiones 23.4.0-23.4.6;
    • Oracle Communications Cloud Native Core Security Edge Protection Proxy, versiones 23.4.2, 24.2.0;
    • Oracle Communications Cloud Native Core Service Communication Proxy, versiones 23.4.0, 24.1.0, 24.2.0;
    • Oracle Communications Cloud Native Core Unified Data Repository, versión 24.2.0;
    • Oracle Communications Convergent Charging Controller, versiones 6.0.1.0.0, 12.0.1.0.0-12.0.6.0.0, 15.0.0.0.0;
    • Oracle Communications Core Session Manager, versión 9.1.5;
    • Oracle Communications EAGLE Application Processor, versión 17.0.1;
    • Oracle Communications IP Service Activator, versiones 7.4.0, 7.5.0;
    • Oracle Communications LSMS, versión 14.0.0.1;
    • Oracle Communications Messaging Server, versión 8.1;
    • Oracle Communications Network Analytics Data Director, versiones 23.4.0, 24.1.0, 24.2.0;
    • Oracle Communications Network Charging and Control, versiones 6.0.1.0.0, 12.0.1.0.0-12.0.6.0.0, 15.0.0.0.0;
    • Oracle Communications Operations Monitor, versiones 5.1, 5.2;
    • Oracle Communications Order and Service Management, versiones 7.4.0, 7.4.1, 7.5.0;
    • Oracle Communications Performance Intelligence Center, versiones anteriores a 10.4.0.4;
    • Oracle Communications Policy Management, versiones 12.6.1.0.0, 15.0.0.0.0;
    • Oracle Communications Session Border Controller, versiones 9.1.0, 9.2.0, 9.3.0;
    • Oracle Communications Unified Assurance, versiones 5.5.0-5.5.22, 6.0.0-6.0.5;
    • Oracle Communications User Data Repository, versiones 12.11.0, 14.0;
    • Oracle Data Integrator, versión 12.2.1.4.0;
    • Oracle Database Server, versiones 19.3-19.24, 21.3-21.15, 23.4-23.5;
    • Oracle E-Business Suite, versiones 12.2.3-12.2.14, [ECC] 11-13;
    • Oracle Enterprise Communications Broker, versiones 4.1.0, 4.2.0;
    • Oracle Enterprise Data Quality, versión 12.2.1.4.0;
    • Oracle Enterprise Manager Base Platform, versiones 12.2.1.4.0, 13.5.0.0;
    • Oracle Enterprise Manager for Fusion Middleware, versión 12.2.1.4.0;
    • Oracle Enterprise Manager for Peoplesoft, versión 13.5.1.1.0;
    • Oracle Enterprise Manager Fusion Middleware Control, versión 12.2.1.4.0;
    • Oracle Enterprise Operations Monitor, versiones 5.1, 5.2;
    • Oracle Essbase, versión 21.6;
    • Oracle Financial Services Compliance Studio, versiones 8.1.2.7, 8.1.2.8;
    • Oracle Financial Services Revenue Management and Billing, versiones 3.0.0.0.0, 4.0.0.0.0, 5.0.0.0.0;
    • Oracle Global Lifecycle Management FMW Installer, versión 12.2.1.4.0;
    • Oracle GoldenGate Big Data and Application Adapters, versiones 19.1.0.0.0-19.1.0.0.9;
    • Oracle GraalVM Enterprise Edition, versiones 20.3.15, 21.3.11;
    • Oracle GraalVM for JDK, versiones 17.0.12, 21.0.4, 23;
    • Oracle Graph Server and Client, versiones 23.4.3, 24.3.0;
    • Oracle Hospitality Cruise Shipboard Property Management System, versión 23.1.3;
    • Oracle Hospitality OPERA 5, versiones 5.6.19.19, 5.6.25.8, 5.6.26.4;
    • Oracle Hospitality Simphony, versiones 19.1.0-19.6.2;
    • Oracle HTTP Server, versiones 12.2.1.4.0, 14.1.1.0.0;
    • Oracle Hyperion BI+, versión 11.2.18.0.0;
    • Oracle Hyperion Financial Management, versión 11.2.18.0.0;
    • Oracle Hyperion Infrastructure Technology, versión 11.2.18.0.0;
    • Oracle Identity Manager Connector, versiones 11.1.1.5.0, 12.2.1.3.0;
    • Oracle Java SE, versiones 8u421, 8u421-perf, 11.0.24, 17.0.12, 21.0.4, 23;
    • Oracle Managed File Transfer, versión 12.2.1.4.0;
    • Oracle Middleware Common Libraries and Tools, versión 12.2.1.4.0;
    • Oracle NoSQL Database, versiones 1.5.0, 20.3.40, 21.2.71, 22.3.45, 23.3.33, 24.1.17;
    • Oracle Outside In Technology, versión 8.5.7;
    • Oracle Retail Customer Management and Segmentation Foundation, versión 19.0.0.10;
    • Oracle Retail EFTLink, versiones 20.0.1, 21.0.0, 22.0.0, 23.0.0;
    • Oracle SD-WAN Aware, versión 9.0.1.10.0;
    • Oracle SD-WAN Edge, versiones 9.1.1.3.0, 9.1.1.5.0-9.1.1.8.0, 9.1.1.9.0;
    • Oracle Secure Backup, versiones 18.1.0.1.0, 18.1.0.2.0, 19.1.0.0.0;
    • Oracle Service Bus, versión 12.2.1.4.0;
    • Oracle Solaris Cluster, versión 4;
    • Oracle SQL Developer, versiones 23.1.0, 24.3.0;
    • Oracle Utilities Application Framework, versiones 4.0.0.0.0, 4.0.0.2.0, 4.0.0.3.0, 4.3.0.3.0-4.3.0.6.0, 4.5.0.0.0;
    • Oracle Utilities Network Management System, versiones 2.3.0.2.34, 2.4.0.1.25, 2.5.0.1.14, 2.5.0.2.8, 2.6.0.1.5;
    • Oracle VM VirtualBox, versiones anteriores a 7.0.22 y 7.1.2;
    • Oracle WebCenter Forms Recognition, versión 14.1.1.0.0;
    • Oracle WebCenter Portal, versión 12.2.1.4.0;
    • Oracle WebCenter Sites, versión 12.2.1.4.0;
    • Oracle WebLogic Server, versiones 12.2.1.4.0, 14.1.1.0.0;
    • PeopleSoft Enterprise CC Common Application Objects, versión 9.2;
    • PeopleSoft Enterprise ELM Enterprise Learning Management, versión 9.2;
    • PeopleSoft Enterprise FIN Expenses, versión 9.2;
    • PeopleSoft Enterprise HCM Global Payroll Core, versiones 9.2.48-9.2.50;
    • PeopleSoft Enterprise PeopleTools, versiones 8.59, 8.60, 8.61;
    • Siebel Applications, versiones 24.7 y anteriores.

Recomendaciones

Aplicar los parches correspondientes, según los productos afectados. La información para descargar las actualizaciones puede obtenerse del boletín de seguridad publicado por Oracle.

Referencias

https://www.oracle.com/security-alerts/cpuoct2024.html

https://www.incibe.es/incibe-cert/alerta-temprana/avisos/actualizaciones-criticas-en-oracle-octubre-2024

Publicado el

Gmail, objetivo de una nueva ciberestafa, que usa la Inteligencia Artificial para engañar a los usuarios

Sam Mitrovic, experto en productos de seguridad de Microsoft, ha alertado de una nueva ciberestafa, que hace uso de la Inteligencia Artificial (IA) generativa de voz para engañar a los usuarios de Gmail haciéndose pasar por el servicio técnico de la compañía tras conseguir identificadores de llamada asociados a Google y robar sus cuentas, según publica Faro de Vigo.

Asimismo, Mitrovic ha relatado en su blog que sufrió uno de los intentos de este tipo de estafa cuando recibió una notificación en su cuenta de Gamil solicitando la aprobación de un intento de recuperación de cuenta que él no había iniciado. Tras rechazarla, recibió una llamada de teléfono desde Google Australia, que decidió no responder.

El episodio se repitió una semana después con una nueva solicitud de recuperación de cuenta seguida de otra llamada, que decidió atender. Según el operador, alguien había accedido a su cuenta durante una semana y descargado todos sus datos de Gmail. Mitrovic comprobó que el número se correspondía con el de la central de Google en Sidney, pero solicitó que le enviaran la información por correo electrónico al desconfiar de la veracidad del asunto.

Posteriormente, recibió un email, pero al examinar el campo de destinatarios, se dio cuenta de que el dominio de la dirección no correspondía a Google, ‘googlemail@internalcasetracking.com’ y descubrió que no estaba hablando con una persona real, sino con una inteligencia artificial que simulaba un operador de Google.

Si eres usuario de Gmail y recibes una llamada del servicio técnico de Google, extrema la precaución porque podrías ser víctima de esta estafa. Las ciberestafas son cada vez más avanzadas y realistas. Si algo te hace sospechar o no es convincente, es mejor no responder a llamadas que soliciten información personal o acceder a enlaces no solicitados.

Además, en este caso en concreto, recuerda que Google nunca llama a los usuarios de Gmail si no disponen de un perfil comercial.

Referencias:

Faro de Vigo:

https://www.farodevigo.es/sociedad/2024/10/15/funciona-nueva-ciberestafa-dirigida-usuarios-gmail-dv-109348909.html

El Economista:

https://www.eleconomista.es/tecnologia/noticias/13034279/10/24/asi-funciona-la-nueva-estafa-de-gmail-mucho-cuidado-porque-puedes-acabar-perdiendo-todo.html

Ámbito:

https://www.ambito.com/informacion-general/google-advierte-nuevas-estafas-gmail-cuales-son-y-como-prevenirlas-n6070178

Publicado el

Actualizaciones de seguridad de Microsoft de Octubre 2024

Microsoft publicó el pasado martes día 8 de octubre actualizaciones de seguridad correspondientes al patch tuesday de octubre. Las actualizaciones corrigen 117 vulnerabilidades, entre las cuales hay 2 como críticas, 75 importantes y 40 moderadas.

Análisis

Las vulnerabilidades de severidad crítica publicadas tienen asignados los siguientes identificadores y descripciones:

CVE-2024-38124: escalada de privilegios en Windows Netlogon.

CVE-2024-43468: ejecución remota de código en Microsoft Configuration Manager

Recomendaciones

Instalar la actualización de seguridad correspondiente. En la página de Microsoft se indican los productos afectados así como se informa de los distintos métodos para llevar a cabo dichas actualizaciones.

Referencias

https://www.incibe.es/incibe-cert/alerta-temprana/avisos/actualizaciones-de-seguridad-de-microsoft-de-octubre-de-2024

https://msrc.microsoft.com/update-guide/releaseNote/2024-Oct

https://msrc.microsoft.com/update-guide/vulnerability

Publicado el

Múltiples vulnerabilidades en productos HPE

HPE ha publicado un boletín de seguridad para 12 nuevas vulnerabilidades, 1 crítica, 4 altas, 5 medias y 2 bajas. La explotación de estas vulnerabilidades podría provocar la denegación del servicio (DoS) o la perdida de la confidencialidad entre otros.

Análisis

La vulnerabilidad crítica CVE-2021-3520 es causada por un fallo en lz4 de HPE BackBox Software. Un atacante que envíe un archivo arbitrario a una aplicación enlazada con lz4 podría ser capaz de desencadenar un desbordamiento de enteros, provocando la llamada a la función memmove() con un argumento de tamaño negativo, causando una escritura fuera de límites y/o un fallo.

También se puede consultar en las referencias la información sobre las vulnerabilidades altas: CVE-2024-28757, CVE-2023-5363, CVE-2023-52425, CVE-2022-43680.

Recursos afectados

    • HPE NonStop QRSTR software T1137 – T1137V01, T1137V01^AAA a AAD.
    • HPE BackBox Software T0954 – T0954V04, T0954V04^AAA a AAW, T0954V04^AAA a AAV – T0954V04^AAA a AAW.

Recomendaciones

    • Actualizar HPE NonStop QRSTR a las versiones SPR T0954V04^AAX – TCF.
    • Actualizar HPE BackBox Software a la versión SPR T0954V04^AAX.

Referencias