Publicado el

Actualizaciones críticas en Oracle (julio 2023)

Introducción

Oracle ha publicado una actualización crítica con parches para corregir vulnerabilidades, que afectan a múltiples productos.

Análisis

Esta actualización resuelve 508 vulnerabilidades, algunas de las cuales son críticas. El detalle de las vulnerabilidades resueltas se puede consultar en el enlace de Oracle de la sección de ‘Referencias’.

Las vulnerabilidades que afectan a Oracle Solaris pueden afectar a Oracle ZFSSA, por lo que los clientes de Oracle deben consultar el documento de conocimiento de actualización de parches críticos de Oracle y Sun Systems Product Suite, My Oracle Support Note 2160904.1, para obtener información sobre las revisiones mínimas de los parches de seguridad necesarios para resolver los problemas de ZFSSA publicados en actualizaciones de parches críticos y boletines de terceros de Solaris.

Los boletines de terceros de Solaris se utilizan para anunciar parches de seguridad para software de terceros distribuidos con Oracle Solaris. Los clientes de Solaris 10 deben consultar los conjuntos de parches más recientes que contienen parches de seguridad críticos detallados en el documento de disponibilidad de parches de sistemas. Se puede consultar el índice de referencia de ID de CVE y parches de Solaris (Mi nota de soporte de Oracle 1448883.1) para obtener más información.

Los usuarios que ejecutan Java SE con un navegador pueden descargar la última versión desde la web de Java. Los usuarios de las plataformas Windows y mac OS X también pueden usar actualizaciones automáticas para obtener la última versión.

Productos afectados:

  • Application Management Pack para Oracle Utilities & Enterprise Taxation, versiones 13.4.1.0.0 y 13.5.1.0.0;
  • BI Publisher, versiones 6.4.0.0.0 y 7.0.0.0.0;
  • JD Edwards EnterpriseOne Orchestrator, versiones anteriores a la 9.2.7.4;
  • JD Edwards EnterpriseOne Tools, versiones anteriores a la 9.2.7.4;
  • MySQL Cluster, versiones 8.0.33 y anteriores;
  • MySQL Connectors, versiones 8.0.33 y anteriores;
  • MySQL Enterprise Monitor, versiones 8.0.34 y anteriores;
  • Servidor MySQL, versiones 5.7.42 y anteriores, 8.0.33 y anteriores;
  • MySQL Workbench, versiones 8.0.33 y anteriores;
  • Administrador de acceso de Oracle, versión 12.2.1.4.0;
  • Oracle Agile Engineering Data Management, versiones 6.2.1.0 a 6.2.1.8;
  • Oracle Agile PLM, versión 9.3.6;
  • Oracle Application Express, versiones [Application Express Administration] 18.2 a 22.2, [Application Express Customers Plugin] 18.2 a 22.2, [Application Express Team Calendar Plugin] 18.2 a 22.1;
  • Conjunto de pruebas de aplicaciones de Oracle, versión 13.3.0.1;
  • Oracle AutoVue, versiones 21.0.2.0 a 21.0.2.7;
  • Oracle Autovue para Agile Product Lifecycle Management, versión 21.0.2;
  • Oracle BAM (Supervisión de la actividad empresarial), versión 12.2.1.4.0;
  • Oracle Banking API, versiones 18.2.0.0.0, 18.3.0.0.0, 19.1.0.0.0, 19.2.0.0.0, 21.1.0.0.0, 22.1.0.0.0 y 22.2.0.0.0;
  • Sucursal bancaria de Oracle, versiones 14.5 a 14.7;
  • Oracle Banking Cash Management, versiones 14.7.0.2.0 y 14.7.1.0.0;
  • Oracle Banking Corporate Lending, versiones 14.0 a 14.3 y 14.5 a14.7;
  • Oracle Banking Corporate Lending Process Management, versiones 14.4 a 14.7;
  • Oracle Banking Credit Facility Process Management, versión 14.7.1.0.0;
  • Oracle Banking Digital Experience, versiones 18.2.0.0.0, 18.3.0.0.0, 19.1.0.0.0, 19.2.0.0.0, 21.1.0.0.0, 22.1.0.0.0 y 22.2.0.0.0;
  • Oracle Banking Liquidity Management, versiones 14.5.0.8.0, 14.6.0.3.0, 14.6.0.4.0, 14.7.0.1.0, 14.7.0.2.0 y 14.7.1.0.0;
  • Oracle Banking Origination, versiones 14.5 a 14.7 y 14.7.0;
  • Oracle Banking Payments, versiones 14.5 a 14.7;
  • Oracle Banking Supply Chain Finance, versiones 14.7.0.2.0 y 14.7.1.0.0;
  • Oracle Banking Trade Finance, versiones 14.0 a 14.3 y 14.5 a 14.7;
  • Oracle Banking Trade Finance Process Management, versiones 14.5.0.8.0, 14.6.0.4.0, 14.7.0.2.0 y 14.7.1.0.0;
  • Oracle Banking Treasury Management, versiones 14.5 a 14.7;
  • Oracle Big Data Spatial y Graph, versión 3.0;
  • Oracle Business Intelligence Enterprise Edition, versiones 6.4.0.0.0, 7.0.0.0.0 y 12.2.1.4.0;
  • Oracle Business Process Management Suite, versión 12.2.1.4.0;
  • Oracle Coherence, versiones 12.2.1.4.0 y 14.1.1.0.0;
  • Búsqueda guiada de Oracle Commerce, versión 11.3.2;
  • Oracle Commerce Platform, versiones 11.3.0, 11.3.1 y 11.3.2;
  • Oracle Communications Billing y Revenue Management, versiones 12.0.0.4.0 a 12.0.0.8.0;
  • Oracle Communications BRM: motor de carga elástica, versiones 12.0.0.4.0 a 12.0.0.8.0;
  • Oracle Communications Calendar Server, versiones 8.0.0.2.0 a 8.0.0.7.0;
  • Oracle Communications Cloud Native Core Automated Test Suite, versiones 22.4.1, 23.1.0 y 23.1.1;
  • Oracle Communications Cloud Native Core Binding Support Function, versiones 22.4.0 y 23.1.0;
  • Oracle Communications Cloud Native Core Console, versiones 22.4.2 y 23.1.1;
  • Oracle Communications Cloud Native Core Network Exposure Function, versiones 22.4.3 y 23.1.2;
  • Oracle Communications Cloud Native Core Network Function Cloud Native Environment, versión 23.1.0;
  • Oracle Communications Cloud Native Core Network Repository Function, versiones 22.4.2, 22.4.3, 23.1.0, 23.1.1 y 23.2.0
  • Política de Oracle Communications Cloud Native Core, versiones 22.4.0, 23.1.0 y 23.2.0;
  • Oracle Communications Cloud Native Core Security Edge Protection Proxy, versiones 22.3.2, 22.4.0, 22.4.3, 23.1.0 y 23.1.1 a 23.1.2;
  • Oracle Communications Cloud Native Core Service Communication Proxy, versiones 22.4.0 y 23.1.0;
  • Repositorio de datos unificados de Oracle Communications Cloud Native Core, versión 23.1.1;
  • Oracle Communications Contacts Server, versiones 8.0.0.6.0 a 8.0.0.8.0;
  • Servidor de aplicaciones convergentes de Oracle Communications: controlador de servicios, versión 6.2.0;
  • Oracle Communications Convergence, versión 3.0.3.2;
  • Controlador de carga convergente de Oracle Communications, versiones 12.0.3.0.0 a 12.0.6.0.0;
  • Oracle Communications Design Studio, versiones 7.4.0.7.0, 7.4.1.5.0 y 7.4.2.8.0;
  • Enrutador de señalización de diámetro de Oracle Communications, versión 8.6.0.0;
  • Servidor de mensajería instantánea Oracle Communications, versión 10.0.1.7.0;
  • Servidor de mensajería de Oracle Communications, versión 8.1.0.21.0;
  • Director de datos de Oracle Communications Network Analytics, versión 23.1.0;
  • Carga y control de Oracle Communications Network, versiones 12.0.3.0.0 a 12.0.6.0.0; 
  • Oracle Communications Network Integrity, versión 7.3.6.4;
  • Oracle Communications Operations Monitor, versiones 5.0 y 5.1;
  • Oracle Communications Order y Service Management, versiones 7.3.5, 7.4.0 y 7.4.1;
  • Oracle Communications Pricing Design Center, versiones 12.0.0.4.0 a 12.0.0.7.0;
  • Oracle Communications Unified Assurance, versiones 5.5.0 a 5.5.17 y 6.0.0 a 6.0.2;
  • Oracle Communications Unified Inventory Management, versiones 7.4.0 a 7.4.2 y 7.5.0;
  • Integrador de datos de Oracle, versión 12.2.1.4.0;
  • Servidor de base de datos Oracle, versiones 19.3 a 19.19 y 21.3 a 21.10;
  • Oracle Documaker, versiones 12.6.1 a 12.7.1;
  • Oracle E-Business Suite, versiones 12.2.3 a 12.3.12;
  • Oracle Enterprise Data Quality, versión 12.2.1.4.0;
  • Oracle Enterprise Manager para Exadata, versión 13.5.0.0;
  • Oracle Enterprise Manager para Fusion Middleware, versión 13.5.0.0;
  • Oracle Enterprise Manager para Oracle Database, versión 13.5.0.0;
  • Oracle Enterprise Manager Ops Center, versión 12.4.0.0;
  • Oracle Enterprise Operations Monitor, versiones 5.0 a 5.1;
  • Oracle Essbase, versión 21.4.3.0.0;
  • Infraestructura de aplicaciones analíticas de Oracle Financial Services, versiones 8.0.7, 8.0.8, 8.1.0, 8.1.1 a 8.1.2;
  • Plataforma de detección de comportamiento de Oracle Financial Services, versiones 8.0.8.1, 8.1.1.1, 8.1.2.4 a 8.1.2.5;
  • Oracle Financial Services Compliance Studio, versión 8.1.2.4;
  • Oracle Financial Services Enterprise Case Management, versiones 8.0.8.2, 8.1.1.1, 8.1.2.4 y 8.1.2.5;
  • Oracle Financial Services Trade-Based Anti Money Laundering Enterprise Edition, versión 8.0.8;
  • Servicio de Oracle FLEXCUBE Investor, versión 14.7.0.0.0;
  • Oracle FLEXCUBE Universal Banking, versiones 14.0 a 14.7;
  • Oracle Fusion Middleware MapViewer, versión 12.2.1.4.0;
  • Oracle GoldenGate, versiones 19.1.0.0.0 a 19.1.0.0.230422, 21.3.0.0.0 a 21.10.0.0.5;
  • Oracle GoldenGate Stream Analytics, versiones 19.1.0.0.0 a 19.1.0.0.7;
  • Oracle GraalVM Enterprise Edition, versiones 20.3.10, 21.3.6, 22.3.2;
  • Oracle GraalVM para JDK, versiones 17.0.7, 20.0.1;
  • Oracle Graph Server y Client, versiones 21.4.6, 21.4.7, 22.4.1, 22.4.2 y 23.1.0;
  • Oracle Health Sciences Sciences Data Management Workbench, versiones 3.1.0.2, 3.1.1.3 y 3.2.0.0;
  • Oracle Hospitality Cruise Shipboard Property Management System, versiones 20.1.0, 20.2.0 y 20.3.3;
  • Oracle Hospitality Simphony, versión 19.5;
  • Servidor HTTP de Oracle, versión 12.2.1.4.0;
  • Administración de relaciones de datos de Oracle Hyperion, versión 11.2.13.0.0;
  • Servicios de administración de Oracle Hyperion Essbase, versión 21.4.3.0.0;
  • Informes financieros de Oracle Hyperion, versión 11.2.13.0.0;
  • Espacio de trabajo de Oracle Hyperion, versión 11.2.13.0.0;
  • Oracle Identity Manager, versión 12.2.1.4.0;
  • Conector de Oracle Identity Manager, versiones 9.1.0 y 12.2.1.3.0;
  • Oracle Java SE, versiones 8u371, 8u371-perf, 11.0.19, 17.0.7 y 20.0.1;
  • Oracle JDeveloper, versión 12.2.1.4.0;
  • Herramientas y bibliotecas comunes de Oracle Middleware, versión 12.2.1.4.0;
  • Oracle Mobile Security Suite, versiones anteriores a 11.1.2.3.1;
  • Base de datos Oracle NoSQL, versiones 19.5.33, 20.3.28, 21.2.55 y 22.3.26;
  • Oracle Policy Automation, versiones anteriores a la 12.2.31;
  • Oracle Retail Advanced Inventory Planning, versiones 15.0 y 16.0;
  • Oracle Retail Bulk Data Integration, versiones 16.0.3 y 19.0.1;
  • Oracle Retail Financial Integration, versiones 14.2.0, 15.0.4, 16.0.3 y 19.0.1;
  • Oracle Retail Integration Bus, versiones 14.2.0, 15.0.4, 16.0.3 y 19.0.1;
  • Oracle Retail Order Broker, versión 19.1;
  • Oracle Retail Predictive Application Server, versiones 15.0.3 y 16.0.3;
  • Oracle Retail Service Backbone, versiones 14.2.0, 15.0.4, 16.0.3 y 19.0.1;
  • Oracle SD-WAN Edge, versión 9.1.1.5.0;
  • Copia de seguridad segura de Oracle, versión 18.1.0.1.0;
  • Bus de servicio de Oracle, versión 12.2.1.4.0;
  • Oracle SOA Suite, versión 12.2.1.4.0;
  • Oracle Solaris, versión 11;
  • Oracle Spatial Studio, versión 22.3.0;
  • Base de datos en memoria Oracle TimesTen, versiones 22.1.1.1.0 a 22.1.1.11.0;
  • Oracle Utilities Application Framework, versiones 4.2.0.3.0, 4.3.0.1.0 a 4.3.0.6.0, 4.4.0.0.0, 4.4.0.2.0, 4.4.0.3.0, 4.5.0.0.0, 4.5. 0.1.0 y 4.5.0.1.1;
  • Oracle Utilities Network Management System, versiones 2.4.0.1.21, 2.5.0.0.9, 2.5.0.1, 2.5.0.1.11, 2.5.0.2, 2.5.0.2.3 y 2.6.0.0;
  • Oracle Utilities Testing Accelerator, versiones 6.0.0.1 a 7.0.0.0;
  • Oracle VM VirtualBox, versiones anteriores a la 6.1.46 y anteriores a la 7.0.10;
  • Contenido de Oracle WebCenter, versión 12.2.1.4.0;
  • Sitios de Oracle WebCenter, versión 12.2.1.4.0;
  • Servidor Oracle WebLogic, versiones 12.2.1.4.0 y 14.1.1.0.0;
  • PeopleSoft Enterprise PeopleTools, versiones 8.59 y 8.60;
  • Primavera Gateway, versiones 18.8.0 a 18.8.15, 19.12.0 a 19.12.16, 20.12.0 a 20.12.11 y 21.12.0 a 21.12.9;
  • Primavera P6 Enterprise Project Portfolio Management, versiones 22.12.2 y 22.12.3;
  • Primavera Unifier, versiones 18.8.0 a 18.8.18, 19.12.0 a 19.12.16, 20.12.0 a 20.12.16, 21.12.0 a 21.12.15 y 22.12.0 a 22.12.6;
  • Aplicaciones Siebel, versiones 22.12 y anteriores, 23.6 y anteriores.

Recomendaciones

Aplicar los parches correspondientes, según los productos afectados. La información para descargar las actualizaciones puede obtenerse del boletín de seguridad publicado por Oracle.

Referencias

      • https://www.oracle.com/security-alerts/cpujul2023.html
Publicado el

Vulnerabilidades en Citrix ADC y Citrix Gateway

Introducción

Citrix ha publicado recientemente unas vulnerabilidades que afectan a Citrix ADC y Citrix Gateway. Se les ha asignado los CVE-2023-3519, CVE-2023-3466, CVE-2023-3467.

Análisis

CVE-2023-3466

Requiere que la víctima acceda a un enlace controlado por el atacante en el navegador mientras está en una red con conectividad al NSIP.

CVE-2023-3467   

Escalada de privilegios al administrador raíz (nsroot).  Acceso autenticado a NSIP o SNIP con acceso a la interfaz de administración.   

CVE-2023-3519

Ejecución de código remoto no autenticado. El dispositivo debe configurarse como puerta de enlace (servidor virtual VPN, proxy ICA, CVPN, proxy RDP) O servidor virtual AAA

Versiones afectadas:

Las siguientes versiones compatibles de NetScaler ADC y NetScaler Gateway se ven afectadas por las vulnerabilidades:
NetScaler ADC y NetScaler Gateway 13.1 anteriores a 13.1-49.13

NetScaler ADC y NetScaler Gateway 13.0 anteriores a 13.0-91.13

NetScaler ADC 13.1-FIPS anterior a 13.1-37.159

NetScaler ADC 12.1-FIPS anterior a 12.1-55.297

NetScaler ADC 12.1-NDcPP anterior a 12.1-55.2970

Recomendaciones

Se recomienda a los afectados de NetScaler ADC y NetScaler Gateway a que instalen las versiones actualizadas pertinentes lo antes posible.

        • NetScaler ADC y NetScaler Gateway 13.1-49.13 y versiones posteriores
        • NetScaler ADC y NetScaler Gateway 13.0-91.13 y versiones posteriores de 13.0 
        • NetScaler ADC 13.1-FIPS 13.1-37.159 y versiones posteriores de 13.1-FIPS 
        • NetScaler ADC 12.1-FIPS 12.1-55.297 y versiones posteriores de 12.1-FIPS 
        • NetScaler ADC 12.1-NDcPP 12.1-55.297 y versiones posteriores de 12.1-NDcPP

Referencias

      • https://support.citrix.com/article/CTX561482/citrix-adc-and-citrix-gateway-security-bulletin-for-cve20233519-cve20233466-cve20233467
Publicado el

Actualizaciones de seguridad de Microsoft (Julio 2023)

INTRODUCCIÓN

 
Microsoft ha publicado recientemente su habitual paquete de actualizaciones de seguridad correspondiente al mes de Julio (Patch Tuesday). En este paquete se han publicado un total de 132 vulnerabilidades, 5 de ellas críticas, y el resto se han clasificado como importantes.
 
ANÁLISIS
 
Las vulnerabilidades publicadas afectan a múltiples productos de Microsoft, y son de los siguientes tipos:
 
  •     Escalada de privilegios
  •     Anulación de funciones de seguridad
  •     Suplantación de identidad
  •     Divulgación de información
  •     Secuencias de comandos en sitios cruzados
  •     Ejecución remota de código
  •     Denegación de servicio
 
 
Cabe destacar las 5 vulnerabilidades críticas:
 
  •     CVE-2023-32046: vulnerabilidad que podría permitir una escalada de privilegios en equipos Windows10.
  •     CVE-2023-32049: vulnerabilidad que podría permitir una anulación de funciones de seguridad en equipos Windows10.
  •     CVE-2023-35311: vulnerabilidad que podría provocar una anulación de funciones de seguridad en Microsoft Office, Microsoft 365 Apps y Microsoft Outlook.
  •     CVE-2023-36874: vulnerabilidad que podría provocar una escalada de privilegios en Windows Server 2008 y 2012.
  •     CVE-2023-36884 vulnerabilidad que podría provocar una ejecución remota de código en equipos Windows10, Windows Server y Microsoft Office.
 
 
RECOMENDACIONES
 
Instalar las actualizaciones correspondientes en cuanto estén disponibles.
 
Para conocer el detalle de las actualizaciones consultar el siguiente enlace: https://msrc.microsoft.com/update-guide/releaseNote/2023-Jul
 
REFERENCIAS
 
Publicado el

Vulnerabilidades Mozilla Firefox, Firefox ERS y Thunderbird

Introducción

Se han descubierto múltiples vulnerabilidades en Mozilla Firefox, Firefox ERS y Thunderbird

Análisis

Mozilla ha emitido un aviso de seguridad donde se tratan 13 vulnerabilidades que afectan al navegador Firefox, Firefox ERS y al cliente de correo electrónico multiplataforma Mozilla Thunderbird. Dentro de estas destacan 4 de severidad alta cuyos identificadores son CVE-2023-37201, CVE-2023-37202, CVE-2023-37211, CVE-2023-37212, que de ser explotadas podrían conducir a condiciones use-after-free y de ejecución arbitraria de código.

      • CVE-2023-3482: Bloquear todas las cookies de bypass para localstorage
      • CVE-2023-37201: Use-after-free en la generación de certificados WebRTC
      • CVE-2023-37202: Posible uso después de la liberación de la falta de coincidencia de compartimento en SpiderMonkey
      • CVE-2023-37203: La API de arrastrar y soltar puede proporcionar acceso a archivos locales del sistema
      • CVE-2023-37204: Notificación de pantalla completa oscurecida a través del elemento de opción
      • CVE-2023-37205: Suplantación de URL en la barra de direcciones utilizando caracteres RTL
      • CVE-2023-37206: Validación insuficiente de enlaces simbólicos en la API FileSystem
      • CVE-2023-37207: Notificación de pantalla completa oscurecida
      • CVE-2023-37208: Falta de advertencia al abrir archivos Diagcab
      • CVE-2023-37209: Use-after-free en `NotifyOnHistoryReload`.
      • CVE-2023-37210: Prevención de salida del modo de pantalla completa
      • CVE-2023-37211: Fallos de seguridad de memoria corregidos en Firefox 115, Firefox ESR 102.13 y Thunderbird 102.13
      • CVE-2023-37212: Memory safety bugs fixed in Firefox 115

VERSIONES AFECTADAS:

      • Mozilla Firefox versiones anteriores a 115.
      • Firefox ESR versiones anteriores a 102.13.
      • Firefox Thunderbird versiones anteriores a 102.13.

Recomendaciones

Para la mitigación de estas vulnerabilidades, se recomienda tener siempre los sistemas y aplicaciones actualizadas a la última versión disponible en cuanto se publiquen las actualizaciones correspondientes.

Para solucionar los problemas mencionados, Mozilla recomienda instalar la versión más reciente de Firefox y Thunderbird.

      • Actualizar Mozilla Firefox a 115.
      • ActualizarFirefox ESR a 102.13.
      • Actualizar Firefox Thunderbird a 102.13.

Referencias

      • https://www.mozilla.org/en-US/security/advisories/mfsa2023-22/
      • https://nvd.nist.gov/vuln/detail/CVE-2023-3482
      • https://nvd.nist.gov/vuln/detail/CVE-2023-37201
      • https://nvd.nist.gov/vuln/detail/CVE-2023-37202
      • https://nvd.nist.gov/vuln/detail/CVE-2023-37203
      • https://nvd.nist.gov/vuln/detail/CVE-2023-37204
      • https://nvd.nist.gov/vuln/detail/CVE-2023-37205
      • https://nvd.nist.gov/vuln/detail/CVE-2023-37206
      • https://nvd.nist.gov/vuln/detail/CVE-2023-37207
      • https://nvd.nist.gov/vuln/detail/CVE-2023-37208
      • https://nvd.nist.gov/vuln/detail/CVE-2023-37209
      • https://nvd.nist.gov/vuln/detail/CVE-2023-37210
      • https://nvd.nist.gov/vuln/detail/CVE-2023-37211