SK-CERT Bezpečnostné varovanie V20200115-01

15. januára 2020

Dôležitosť	Kritická
Klasifikácia	Neutajované/TLP WHITE
CVSS Skóre	9.9

Identifikátor

Kritické zraniteľnosti v Oracle produktoch

Popis

Spoločnosť Oracle vydala súbor bezpečnostných aktualizácií, ktoré opravujú 334 zraniteľností v ich produktovom portfóliu, z ktorých 43 je označených ako kritických.
Najzávažnejšie bezpečnostné zraniteľnosti umožňujú vzdialenému, neautentifikovanému útočníkovi vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému.

Dátum prvého zverejnenia varovania

14.01.2020

CVE

CVE-2012-1695, CVE-2012-3135, CVE-2014-3004, CVE-2014-3596, CVE-2015-9251, CVE-2016-0701, CVE-2016-1000031, CVE-2016-1181, CVE-2016-1182, CVE-2016-2183, CVE-2016-4000, CVE-2016-5019, CVE-2016-6306, CVE-2016-6814, CVE-2016-8610, CVE-2017-1000376, CVE-2017-12626, CVE-2017-14735, CVE-2017-15708, CVE-2017-15906, CVE-2017-5645, CVE-2018-0734, CVE-2018-0735, CVE-2018-1000030, CVE-2018-1060, CVE-2018-11039, CVE-2018-11040, CVE-2018-11054, CVE-2018-11055, CVE-2018-11056, CVE-2018-11057, CVE-2018-11058, CVE-2018-11307, CVE-2018-11759, CVE-2018-11784, CVE-2018-1257, CVE-2018-1258, CVE-2018-14718, CVE-2018-15473, CVE-2018-15756, CVE-2018-15769, CVE-2018-16395, CVE-2018-17189, CVE-2018-19362, CVE-2018-20684, CVE-2018-5407, CVE-2018-6829, CVE-2018-8032, CVE-2018-8039, CVE-2019-0199, CVE-2019-0215, CVE-2019-0221, CVE-2019-0227, CVE-2019-0232, CVE-2019-10072, CVE-2019-10086, CVE-2019-10088, CVE-2019-10092, CVE-2019-10093, CVE-2019-10094, CVE-2019-10098, CVE-2019-10246, CVE-2019-10247, CVE-2019-11358, CVE-2019-11477, CVE-2019-11478, CVE-2019-11479, CVE-2019-12086, CVE-2019-12384, CVE-2019-12406, CVE-2019-12415, CVE-2019-12419, CVE-2019-12814, CVE-2019-13117, CVE-2019-13118, CVE-2019-14379, CVE-2019-14439, CVE-2019-14540, CVE-2019-1547, CVE-2019-1549, CVE-2019-1552, CVE-2019-1559, CVE-2019-1563, CVE-2019-15845, CVE-2019-16168, CVE-2019-16201, CVE-2019-16254, CVE-2019-16255, CVE-2019-16335, CVE-2019-16775, CVE-2019-16776, CVE-2019-16777, CVE-2019-16942, CVE-2019-16943, CVE-2019-17091, CVE-2019-17267, CVE-2019-17359, CVE-2019-17531, CVE-2019-2094, CVE-2019-2725, CVE-2019-2729, CVE-2019-2904, CVE-2019-3862, CVE-2019-5481, CVE-2019-5482, CVE-2019-5718, CVE-2019-8457, CVE-2019-9208, CVE-2019-9579, CVE-2019-9636, CVE-2019-9936, CVE-2019-9937, CVE-2020-2510, CVE-2020-2511, CVE-2020-2512, CVE-2020-2515, CVE-2020-2516, CVE-2020-2517, CVE-2020-2518, CVE-2020-2519, CVE-2020-2527, CVE-2020-2530, CVE-2020-2531, CVE-2020-2533, CVE-2020-2534, CVE-2020-2535, CVE-2020-2536, CVE-2020-2537, CVE-2020-2538, CVE-2020-2539, CVE-2020-2540, CVE-2020-2541, CVE-2020-2542, CVE-2020-2543, CVE-2020-2544, CVE-2020-2545, CVE-2020-2546, CVE-2020-2547, CVE-2020-2548, CVE-2020-2549, CVE-2020-2550, CVE-2020-2551, CVE-2020-2552, CVE-2020-2555, CVE-2020-2556, CVE-2020-2557, CVE-2020-2558, CVE-2020-2559, CVE-2020-2560, CVE-2020-2561, CVE-2020-2563, CVE-2020-2564, CVE-2020-2565, CVE-2020-2566, CVE-2020-2567, CVE-2020-2568, CVE-2020-2569, CVE-2020-2570, CVE-2020-2571, CVE-2020-2572, CVE-2020-2573, CVE-2020-2574, CVE-2020-2576, CVE-2020-2577, CVE-2020-2578, CVE-2020-2579, CVE-2020-2580, CVE-2020-2581, CVE-2020-2582, CVE-2020-2583, CVE-2020-2584, CVE-2020-2585, CVE-2020-2586, CVE-2020-2587, CVE-2020-2588, CVE-2020-2589, CVE-2020-2590, CVE-2020-2591, CVE-2020-2592, CVE-2020-2593, CVE-2020-2595, CVE-2020-2596, CVE-2020-2597, CVE-2020-2598, CVE-2020-2599, CVE-2020-2600, CVE-2020-2601, CVE-2020-2602, CVE-2020-2603, CVE-2020-2604, CVE-2020-2605, CVE-2020-2606, CVE-2020-2607, CVE-2020-2608, CVE-2020-2609, CVE-2020-2610, CVE-2020-2611, CVE-2020-2612, CVE-2020-2613, CVE-2020-2614, CVE-2020-2615, CVE-2020-2616, CVE-2020-2617, CVE-2020-2618, CVE-2020-2619, CVE-2020-2620, CVE-2020-2621, CVE-2020-2622, CVE-2020-2623, CVE-2020-2624, CVE-2020-2625, CVE-2020-2626, CVE-2020-2627, CVE-2020-2628, CVE-2020-2629, CVE-2020-2630, CVE-2020-2631, CVE-2020-2632, CVE-2020-2633, CVE-2020-2634, CVE-2020-2635, CVE-2020-2636, CVE-2020-2637, CVE-2020-2638, CVE-2020-2639, CVE-2020-2640, CVE-2020-2641, CVE-2020-2642, CVE-2020-2643, CVE-2020-2644, CVE-2020-2645, CVE-2020-2646, CVE-2020-2647, CVE-2020-2648, CVE-2020-2649, CVE-2020-2650, CVE-2020-2651, CVE-2020-2652, CVE-2020-2653, CVE-2020-2654, CVE-2020-2655, CVE-2020-2656, CVE-2020-2657, CVE-2020-2658, CVE-2020-2659, CVE-2020-2660, CVE-2020-2661, CVE-2020-2662, CVE-2020-2663, CVE-2020-2664, CVE-2020-2665, CVE-2020-2666, CVE-2020-2667, CVE-2020-2668, CVE-2020-2669, CVE-2020-2670, CVE-2020-2671, CVE-2020-2672, CVE-2020-2673, CVE-2020-2674, CVE-2020-2675, CVE-2020-2676, CVE-2020-2677, CVE-2020-2678, CVE-2020-2679, CVE-2020-2680, CVE-2020-2681, CVE-2020-2682, CVE-2020-2683, CVE-2020-2684, CVE-2020-2685, CVE-2020-2686, CVE-2020-2687, CVE-2020-2688, CVE-2020-2689, CVE-2020-2690, CVE-2020-2691, CVE-2020-2692, CVE-2020-2693, CVE-2020-2694, CVE-2020-2695, CVE-2020-2696, CVE-2020-2697, CVE-2020-2698, CVE-2020-2699, CVE-2020-2700, CVE-2020-2701, CVE-2020-2702, CVE-2020-2703, CVE-2020-2704, CVE-2020-2705, CVE-2020-2707, CVE-2020-2709, CVE-2020-2710, CVE-2020-2711, CVE-2020-2712, CVE-2020-2713, CVE-2020-2714, CVE-2020-2715, CVE-2020-2716, CVE-2020-2717, CVE-2020-2718, CVE-2020-2719, CVE-2020-2720, CVE-2020-2721, CVE-2020-2722, CVE-2020-2723, CVE-2020-2724, CVE-2020-2725, CVE-2020-2726, CVE-2020-2727, CVE-2020-2728, CVE-2020-2729, CVE-2020-2730, CVE-2020-2731, CVE-2020-6950

CVE

–

Zasiahnuté systémy

Enterprise Manager Base Platform, verzie 12.1.0.5, 13.2.0.0, 13.3.0.0
Enterprise Manager for Fusion Middleware, verzie 13.2.0.0, 13.3.0.0
Enterprise Manager for Oracle Database, verzie 12.1.0.5, 13.2.0.0, 13.3.0.0
Enterprise Manager Ops Center, verzie 12.3.3, 12.4.0
Hyperion Financial Close Management, verzia 11.1.2.4
Hyperion Planning, verzia 11.1.2.4
Identity Manager, verzie 11.1.2.3.0, 12.2.1.3.0
Instantis EnterpriseTrack, verzie 17.1, 17.2, 17.3
JD Edwards EnterpriseOne Orchestrator, verzia 9.2
JD Edwards EnterpriseOne Tools, verzia 9.2
MySQL Client, verzie 5.6.46 a staršie, 5.7.28 a staršie, 8.0.18 a staršie
MySQL Cluster, verzie 7.3.27 a staršie, 7.4.25 a staršie, 7.5.15 a staršie, 7.6.12 a staršie
MySQL Connectors, verzie 5.3.13 a staršie, 8.0.18 a staršie
MySQL Enterprise Backup, verzie 3.12.4 a staršie, 4.1.3 a staršie
MySQL Server, verzie 5.6.46 a staršie, 5.7.28 a staršie, 8.0.18 a staršie
MySQL Workbench, verzie 8.0.18 a staršie
Oracle Agile Engineering Data Management, verzie 6.2.0, 6.2.1
Oracle Agile PLM, verzie 9.3.3, 9.3.4, 9.3.5, 9.3.6
Oracle Agile PLM Framework, verzia 9.3.3
Oracle Agile PLM MCAD Connector, verzie 3.4, 3.5, 3.6
Oracle Application Testing Suite, verzie 12.5.0.3, 13.1.0.1, 13.2.0.1, 13.3.0.1
Oracle AutoVue, verzia 12.0.2
Oracle Banking Corporate Lending, verzie 12.3.0-12.4.0, 14.0.0-14.3.0
Oracle Banking Payments, verzie 14.1.0-14.3.0
Oracle Big Data Discovery, verzia 1.6
Oracle Business Intelligence Enterprise Edition, verzie 11.1.1.9.0, 12.2.1.3.0, 12.2.1.4.0
Oracle Clinical, verzia 5.2
Oracle Coherence, verzie 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0
Oracle Communications Design Studio, verzie 7.3.4.3.0, 7.3.5.5.0, 7.4.0.4.0, 7.4.1.1.0
Oracle Communications Diameter Signaling Router (DSR), verzie 8.0, 8.1, 8.2, 8.3, 8.4
Oracle Communications Instant Messaging Server, verzia 10.0.1.3.0
Oracle Communications Interactive Session Recorder, verzie 6.0, 6.1, 6.2, 6.3
Oracle Communications IP Service Activator, verzie 7.3.4, 7.4.0
Oracle Communications Session Border Controller, verzie 7.4, 8.0, 8.1, 8.2, 8.3
Oracle Communications Session Router, verzie 7.4, 8.0, 8.1, 8.2, 8.3
Oracle Communications Subscriber-Aware Load Balancer, verzie 7.3, 8.1, 8.3
Oracle Communications Unified Inventory Management, verzie 7.3, 7.4
Oracle Communications Unified Session Manager, verzie 7.3.5, 8.2.5
Oracle Database Server, verzie 11.2.0.4, 12.1.0.2, 12.1.0.11, 12.2.0.1, 18c, 19c, 29, 212.2.0.1
Oracle Demantra Demand Management, verzie 12.2.4, 12.2.4.1, 12.2.5, 12.2.5.1
Oracle E-Business Suite, verzie 12.1.1-12.1.3, 12.2.3-12.2.9
Oracle Endeca Information Discovery Integrator, verzia 3.2.0
Oracle Endeca Information Discovery Studio, verzia 3.2.0
Oracle Enterprise Communications Broker, verzie PCz3.0, PCz3.1, PCz3.2
Oracle Enterprise Repository, verzia 12.1.3.0.0
Oracle Enterprise Session Border Controller, verzie 7.5, 8.0, 8.1, 8.2, 8.3
Oracle Financial Services Analytical Applications Infrastructure, verzie 7.3.3-7.3.5, 8.0.0-8.0.8
Oracle Financial Services Funds Transfer Pricing, verzie 8.0.2-8.0.7
Oracle Financial Services Revenue Management and Billing, verzie 2.7.0.0, 2.7.0.1, 2.8.0.0
Oracle FLEXCUBE Investor Servicing, verzie 12.1.0-12.4.0, 14.0.0-14.1.0
Oracle FLEXCUBE Universal Banking, verzie 12.0.1-12.4.0, 14.0.0-14.3.0
Oracle GraalVM Enterprise Edition, verzia 19.3.0.2
Oracle Health Sciences Data Management Workbench, verzie 2.4, 2.5
Oracle Healthcare Master Person Index, verzia 3.0
Oracle Hospitality Cruise Materials Management, verzia 7.30.567
Oracle Hospitality Guest Access, verzia 4.2
Oracle Hospitality OPERA 5, verzie 5.5, 5.6
Oracle Hospitality Suites Management, verzie 3.7, 3.8
Oracle HTTP Server, verzie 11.1.1.9.0, 12.1.3.0.0, 12.2.1.3.0
Oracle iLearning, verzia 6.1
Oracle Java SE, verzie 7u241, 8u231, 8u241, 11.0.5, 13.0.1
Oracle Java SE Embedded, verzia 8u231
Oracle Outside In Technology, verzia 8.5.4
Oracle Real-Time Scheduler, verzie 2.3.0.1-2.3.0.3
Oracle Reports Developer, verzie 12.2.1.3.0, 12.2.1.4.0
Oracle Retail Assortment Planning, verzie 15.0.3, 16.0.3
Oracle Retail Clearance Optimization Engine, verzie 13.4, 14.0, 14.0.3, 14.0.5
Oracle Retail Customer Management and Segmentation Foundation, verzie 16.0, 17.0, 18.0
Oracle Retail Markdown Optimization, verzie 13.4, 13.4.4
Oracle Retail Order Broker, verzie 5.2, 15.0, 16.0, 18.0
Oracle Retail Predictive Application Server, verzie 15.0.3, 16.0.3
Oracle Retail Sales Audit, verzia 15.0.3.16.0.2
Oracle Secure Global Desktop, verzie 5.4, 5.5
Oracle Security Service, verzie 11.1.1.9.0, 12.1.3.0.0, 12.2.1.3.0
Oracle Solaris, verzie 10, 11
Oracle Tuxedo, verzie 12.1.1.0.0, 12.1.3.0.0
Oracle Utilities Framework, verzie 4.2.0.2-4.2.0.3, 4.3.0.1-4.3.0.4
Oracle Utilities Mobile Workforce Management, verzie 2.3.0.1-2.3.0.3
Oracle Utilities Work and Asset Management (v1), verzia 1.9.1.2
Oracle VM Server for SPARC, verzia 3.6
Oracle VM VirtualBox, verzie prior to 5.2.36, prior to 6.0.16, prior to 6.1.2
Oracle WebCenter Sites, verzia 12.2.1.3.0
Oracle WebLogic Server, verzie 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0
PeopleSoft Enterprise CC Common Application Objects, verzie 9.1, 9.2
PeopleSoft Enterprise HCM Human Resources, verzia 9.2
PeopleSoft Enterprise PeopleTools, verzie 8.56, 8.57, 8.58
PeopleSoft PeopleTools, verzie 8.56, 8.57
Primavera Gateway, verzie 15.2.18, 16.2.11, 17.12.6, 18.8.8.1
Primavera P6 Enterprise Project Portfolio Management, verzie 15.1.0.0-15.2.18.7, 16.1.0.0-16.2.19.0, 17.1.0.0-17.12.16.0, 18.1.0.0-18.8.16.0, 19.12.0.0, 20.1.0.0
Primavera Unifier, verzie 16.1, 16.2, 17.7-17.12, 18.8, 19.12
Siebel Applications, verzie 19.10 a staršie
Sun ZFS Storage Appliance Kit, verzia 8.8.6
Tape Library ACSLS, verzie 8.5, 8.5.1

Následky

Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému
Zneprístupnenie služby
Eskalácia privilégií
Neoprávnený prístup k citlivým údajom

Odporúčania

Administrátorom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov.
Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč.

Zdroje

https://www.oracle.com/security-alerts/cpujan2020.html
https://www.cisecurity.org/advisory/oracle-quarterly-critical-patches-issued-january-14-2020_2020-007/
https://threatpost.com/oracle-cpu-all-time-patch-high-january/151861/

« Späť na zoznam

SK-CERT Bezpečnostné varovanie V20200115-01

SK-CERT Bezpečnostné varovanie V20240419-04

SK-CERT Bezpečnostné varovanie V20240419-03

SK-CERT Bezpečnostné varovanie V20240419-02