SK-CERT Bezpečnostné varovanie V20230124-01

24. januára 2023

Dôležitosť	Kritická
Klasifikácia	Neutajované/TLP WHITE
CVSS Skóre	9.9

Identifikátor

Oracle produkty – viacero kritických bezpečnostných zraniteľností

Popis

Spoločnosť Oracle vydala bezpečnostné aktualizácie na svoje portfólio produktov, ktoré opravujú viacero kritických bezpečnostných zraniteľností.
Najzávažnejšia kritická bezpečnostná zraniteľnosť sa nachádza v komponente Signaling (Jenkins Script) produktu Cloud Native Core Unified Data Repository, spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a umožňuje vzdialenému, autentifikovanému útočníkovi s právomocami používateľa uniknúť zo sandboxu a vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému.

Dátum prvého zverejnenia varovania

17.01.2023

CVE

CVE-2017-7536, CVE-2018-1273, CVE-2018-21010, CVE-2018-25032, CVE-2018-7489, CVE-2019-12402, CVE-2019-12415, CVE-2019-12973, CVE-2019-17571, CVE-2019-7317, CVE-2020-0466, CVE-2020-10543, CVE-2020-10683, CVE-2020-10693, CVE-2020-10735, CVE-2020-10878, CVE-2020-11979, CVE-2020-11987, CVE-2020-12723, CVE-2020-13920, CVE-2020-13956, CVE-2020-14392, CVE-2020-14393, CVE-2020-15250, CVE-2020-15389, CVE-2020-16156, CVE-2020-27814, CVE-2020-27841, CVE-2020-27842, CVE-2020-27843, CVE-2020-27844, CVE-2020-27845, CVE-2020-36242, CVE-2020-36518, CVE-2020-5408, CVE-2021-0920, CVE-2021-21290, CVE-2021-21708, CVE-2021-23358, CVE-2021-2351, CVE-2021-29338, CVE-2021-29425, CVE-2021-30641, CVE-2021-31805, CVE-2021-31811, CVE-2021-31812, CVE-2021-35515, CVE-2021-35516, CVE-2021-35517, CVE-2021-36090, CVE-2021-3629, CVE-2021-36483, CVE-2021-36770, CVE-2021-3737, CVE-2021-37533, CVE-2021-37750, CVE-2021-3918, CVE-2021-40528, CVE-2021-4104, CVE-2021-41182, CVE-2021-41183, CVE-2021-41184, CVE-2021-41411, CVE-2021-4155, CVE-2021-42717, CVE-2021-43797, CVE-2021-44228, CVE-2021-44531, CVE-2021-44532, CVE-2021-44832, CVE-2021-45105, CVE-2022-0084, CVE-2022-0492, CVE-2022-0934, CVE-2022-1122, CVE-2022-1259, CVE-2022-1304, CVE-2022-1319, CVE-2022-1941, CVE-2022-2047, CVE-2022-2048, CVE-2022-2053, CVE-2022-2068, CVE-2022-2097, CVE-2022-21499, CVE-2022-21597, CVE-2022-21824, CVE-2022-2191, CVE-2022-22721, CVE-2022-2274, CVE-2022-22950, CVE-2022-22965, CVE-2022-22970, CVE-2022-22971, CVE-2022-22976, CVE-2022-22978, CVE-2022-23218, CVE-2022-23219, CVE-2022-23221, CVE-2022-23302, CVE-2022-23305, CVE-2022-23307, CVE-2022-23308, CVE-2022-23437, CVE-2022-23457, CVE-2022-24329, CVE-2022-24407, CVE-2022-24823, CVE-2022-24839, CVE-2022-24891, CVE-2022-24903, CVE-2022-2509, CVE-2022-25169, CVE-2022-25235, CVE-2022-25236, CVE-2022-2526, CVE-2022-25313, CVE-2022-25314, CVE-2022-25315, CVE-2022-25647, CVE-2022-25857, CVE-2022-26336, CVE-2022-26377, CVE-2022-27404, CVE-2022-27405, CVE-2022-27406, CVE-2022-2764, CVE-2022-27778, CVE-2022-27779, CVE-2022-27780, CVE-2022-27781, CVE-2022-27782, CVE-2022-28614, CVE-2022-28615, CVE-2022-29404, CVE-2022-29824, CVE-2022-29885, CVE-2022-30115, CVE-2022-30126, CVE-2022-3028, CVE-2022-30293, CVE-2022-30522, CVE-2022-30556, CVE-2022-31129, CVE-2022-31625, CVE-2022-31626, CVE-2022-31627, CVE-2022-31628, CVE-2022-31629, CVE-2022-31690, CVE-2022-31692, CVE-2022-3171, CVE-2022-31813, CVE-2022-32212, CVE-2022-32213, CVE-2022-32214, CVE-2022-32215, CVE-2022-32221, CVE-2022-33980, CVE-2022-34169, CVE-2022-34305, CVE-2022-34917, CVE-2022-3509, CVE-2022-3510, CVE-2022-35260, CVE-2022-35737, CVE-2022-3602, CVE-2022-36033, CVE-2022-36055, CVE-2022-37434, CVE-2022-37454, CVE-2022-3786, CVE-2022-38398, CVE-2022-38648, CVE-2022-38749, CVE-2022-38750, CVE-2022-38751, CVE-2022-38752, CVE-2022-39271, CVE-2022-39429, CVE-2022-40146, CVE-2022-40149, CVE-2022-40150, CVE-2022-40153, CVE-2022-40303, CVE-2022-40304, CVE-2022-40664, CVE-2022-4147, CVE-2022-41717, CVE-2022-41720, CVE-2022-41853, CVE-2022-41881, CVE-2022-41915, CVE-2022-4200, CVE-2022-42003, CVE-2022-42004, CVE-2022-42252, CVE-2022-42889, CVE-2022-42915, CVE-2022-42916, CVE-2022-42920, CVE-2022-43403, CVE-2022-43404, CVE-2022-43548, CVE-2022-43680, CVE-2022-45047, CVE-2023-21824, CVE-2023-21825, CVE-2023-21826, CVE-2023-21827, CVE-2023-21828, CVE-2023-21829, CVE-2023-21830, CVE-2023-21831, CVE-2023-21832, CVE-2023-21834, CVE-2023-21835, CVE-2023-21836, CVE-2023-21837, CVE-2023-21838, CVE-2023-21839, CVE-2023-21840, CVE-2023-21841, CVE-2023-21842, CVE-2023-21843, CVE-2023-21844, CVE-2023-21845, CVE-2023-21846, CVE-2023-21847, CVE-2023-21848, CVE-2023-21849, CVE-2023-21850, CVE-2023-21851, CVE-2023-21852, CVE-2023-21853, CVE-2023-21854, CVE-2023-21855, CVE-2023-21856, CVE-2023-21857, CVE-2023-21858, CVE-2023-21859, CVE-2023-21860, CVE-2023-21861, CVE-2023-21862, CVE-2023-21863, CVE-2023-21864, CVE-2023-21865, CVE-2023-21866, CVE-2023-21867, CVE-2023-21868, CVE-2023-21869, CVE-2023-21870, CVE-2023-21871, CVE-2023-21872, CVE-2023-21873, CVE-2023-21874, CVE-2023-21875, CVE-2023-21876, CVE-2023-21877, CVE-2023-21878, CVE-2023-21879, CVE-2023-21880, CVE-2023-21881, CVE-2023-21882, CVE-2023-21883, CVE-2023-21884, CVE-2023-21885, CVE-2023-21886, CVE-2023-21887, CVE-2023-21888, CVE-2023-21889, CVE-2023-21890, CVE-2023-21891, CVE-2023-21892, CVE-2023-21893, CVE-2023-21894, CVE-2023-21898, CVE-2023-21899, CVE-2023-21900

IOC

–

Zasiahnuté systémy

Presnú špecifikáciu jednotlivých zasiahnutých produktov nájdete na odkaze v časti ZDROJE.

Následky

Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému

Odporúčania

Administrátorom a používateľom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov.
Pri produktoch, pre ktoré ešte neboli vydané bezpečnostné záplaty, odporúčame zraniteľnosti mitigovať podľa odporúčaní od výrobcu, sledovať stránky výrobcu a po vydaní príslušných záplat systémy aktualizovať.

Zdroje

https://www.oracle.com/security-alerts/cpujan2023.html
https://nvd.nist.gov/vuln/detail/CVE-2022-43403

« Späť na zoznam

SK-CERT Bezpečnostné varovanie V20230124-01

SK-CERT Bezpečnostné varovanie V20240419-04

SK-CERT Bezpečnostné varovanie V20240419-03

SK-CERT Bezpečnostné varovanie V20240419-02