SK-CERT Bezpečnostné varovanie V20230419-06

19. apríla 2023

Dôležitosť	Kritická
Klasifikácia	Neutajované/TLP WHITE
CVSS Skóre	9.9

Identifikátor

Oracle Produkty – viacero kritických bezpečnostných zraniteľností

Popis

Spoločnosť Oracle vydala bezpečnostné aktualizácie na svoje portfólio produktov, ktoré opravujú viacero kritických bezpečnostných zraniteľností.
Najzávažnejšia kritická bezpečnostná zraniteľnosť sa nachádza v produkte Oracle Communications Cloud Native Core Automated Test Suite, spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a umožňuje vzdialenému, autentifikovanému útočníkovi s právomocami vykonať škodlivý kód a spôsobiť úplné narušenie dôvernosti, integrity a dostupnosti systému.

Dátum prvého zverejnenia varovania

18.04.2023

CVE

CVE-2018-1000656, CVE-2018-1311, CVE-2018-14371, CVE-2018-18074, CVE-2018-20060, CVE-2018-20225, CVE-2018-25032, CVE-2019-10086, CVE-2019-10172, CVE-2019-11287, CVE-2019-12402, CVE-2019-12415, CVE-2019-17091, CVE-2019-18935, CVE-2019-20388, CVE-2019-20907, CVE-2019-20916, CVE-2020-10693, CVE-2020-10735, CVE-2020-11979, CVE-2020-11987, CVE-2020-11988, CVE-2020-13936, CVE-2020-13954, CVE-2020-14343, CVE-2020-15250, CVE-2020-15522, CVE-2020-17521, CVE-2020-1945, CVE-2020-24977, CVE-2020-25638, CVE-2020-25649, CVE-2020-28052, CVE-2020-28500, CVE-2020-29504, CVE-2020-29506, CVE-2020-29507, CVE-2020-29508, CVE-2020-35163, CVE-2020-35164, CVE-2020-35165, CVE-2020-35166, CVE-2020-35167, CVE-2020-35168, CVE-2020-35169, CVE-2020-35490, CVE-2020-35491, CVE-2020-35728, CVE-2020-36179, CVE-2020-36180, CVE-2020-36181, CVE-2020-36182, CVE-2020-36183, CVE-2020-36184, CVE-2020-36185, CVE-2020-36186, CVE-2020-36187, CVE-2020-36188, CVE-2020-36189, CVE-2020-36518, CVE-2020-6950, CVE-2020-7009, CVE-2020-7595, CVE-2020-7712, CVE-2020-8908, CVE-2021-21575, CVE-2021-22569, CVE-2021-23017, CVE-2021-23337, CVE-2021-23413, CVE-2021-2351, CVE-2021-23926, CVE-2021-27568, CVE-2021-28168, CVE-2021-29425, CVE-2021-29921, CVE-2021-30129, CVE-2021-31684, CVE-2021-32808, CVE-2021-32809, CVE-2021-33560, CVE-2021-34798, CVE-2021-35043, CVE-2021-3517, CVE-2021-3518, CVE-2021-3537, CVE-2021-35515, CVE-2021-35516, CVE-2021-35517, CVE-2021-36090, CVE-2021-36373, CVE-2021-36374, CVE-2021-3712, CVE-2021-37136, CVE-2021-37137, CVE-2021-37519, CVE-2021-37533, CVE-2021-37695, CVE-2021-38604, CVE-2021-3918, CVE-2021-4048, CVE-2021-40528, CVE-2021-40690, CVE-2021-4104, CVE-2021-41182, CVE-2021-41183, CVE-2021-41184, CVE-2021-41973, CVE-2021-42575, CVE-2021-43396, CVE-2021-43859, CVE-2021-44531, CVE-2021-44532, CVE-2021-44533, CVE-2021-44832, CVE-2021-46848, CVE-2022-1292, CVE-2022-1471, CVE-2022-1586, CVE-2022-1587, CVE-2022-2047, CVE-2022-2048, CVE-2022-2068, CVE-2022-2097, CVE-2022-21824, CVE-2022-2191, CVE-2022-2274, CVE-2022-22950, CVE-2022-22965, CVE-2022-22970, CVE-2022-22971, CVE-2022-22976, CVE-2022-22978, CVE-2022-22979, CVE-2022-23181, CVE-2022-23218, CVE-2022-23219, CVE-2022-23221, CVE-2022-23302, CVE-2022-23305, CVE-2022-23307, CVE-2022-23308, CVE-2022-23437, CVE-2022-23457, CVE-2022-23491, CVE-2022-24675, CVE-2022-24728, CVE-2022-24729, CVE-2022-24823, CVE-2022-24839, CVE-2022-24891, CVE-2022-25235, CVE-2022-25236, CVE-2022-25313, CVE-2022-25314, CVE-2022-25315, CVE-2022-25647, CVE-2022-25857, CVE-2022-26336, CVE-2022-27404, CVE-2022-27405, CVE-2022-27406, CVE-2022-27778, CVE-2022-27779, CVE-2022-27780, CVE-2022-27781, CVE-2022-27782, CVE-2022-28199, CVE-2022-28327, CVE-2022-28614, CVE-2022-28738, CVE-2022-28739, CVE-2022-2879, CVE-2022-2880, CVE-2022-29078, CVE-2022-29577, CVE-2022-29599, CVE-2022-29824, CVE-2022-30115, CVE-2022-31081, CVE-2022-31123, CVE-2022-31129, CVE-2022-31130, CVE-2022-31160, CVE-2022-31630, CVE-2022-31690, CVE-2022-31692, CVE-2022-3171, CVE-2022-32212, CVE-2022-32213, CVE-2022-32215, CVE-2022-32222, CVE-2022-3358, CVE-2022-33980, CVE-2022-34169, CVE-2022-34305, CVE-2022-3479, CVE-2022-34917, CVE-2022-35737, CVE-2022-3602, CVE-2022-36033, CVE-2022-36760, CVE-2022-37434, CVE-2022-37436, CVE-2022-37454, CVE-2022-3786, CVE-2022-37865, CVE-2022-37866, CVE-2022-3821, CVE-2022-38749, CVE-2022-38750, CVE-2022-38751, CVE-2022-38752, CVE-2022-39135, CVE-2022-39201, CVE-2022-39229, CVE-2022-39271, CVE-2022-40146, CVE-2022-40149, CVE-2022-40150, CVE-2022-40151, CVE-2022-40152, CVE-2022-40303, CVE-2022-40304, CVE-2022-41704, CVE-2022-41715, CVE-2022-41881, CVE-2022-41915, CVE-2022-41966, CVE-2022-42003, CVE-2022-42004, CVE-2022-42252, CVE-2022-42889, CVE-2022-42890, CVE-2022-42898, CVE-2022-42915, CVE-2022-42916, CVE-2022-42919, CVE-2022-4304, CVE-2022-43401, CVE-2022-43402, CVE-2022-43548, CVE-2022-43551, CVE-2022-43680, CVE-2022-4415, CVE-2022-4450, CVE-2022-45047, CVE-2022-45061, CVE-2022-45143, CVE-2022-45685, CVE-2022-45693, CVE-2022-46363, CVE-2022-46364, CVE-2022-46908, CVE-2022-47629, CVE-2023-0215, CVE-2023-0286, CVE-2023-0361, CVE-2023-0567, CVE-2023-0568, CVE-2023-0662, CVE-2023-1370, CVE-2023-21896, CVE-2023-21902, CVE-2023-21903, CVE-2023-21904, CVE-2023-21905, CVE-2023-21906, CVE-2023-21907, CVE-2023-21908, CVE-2023-21909, CVE-2023-21910, CVE-2023-21911, CVE-2023-21912, CVE-2023-21913, CVE-2023-21915, CVE-2023-21916, CVE-2023-21917, CVE-2023-21918, CVE-2023-21919, CVE-2023-21920, CVE-2023-21921, CVE-2023-21922, CVE-2023-21923, CVE-2023-21924, CVE-2023-21925, CVE-2023-21926, CVE-2023-21927, CVE-2023-21928, CVE-2023-21929, CVE-2023-21930, CVE-2023-21931, CVE-2023-21932, CVE-2023-21933, CVE-2023-21934, CVE-2023-21935, CVE-2023-21936, CVE-2023-21937, CVE-2023-21938, CVE-2023-21939, CVE-2023-21940, CVE-2023-21941, CVE-2023-21942, CVE-2023-21943, CVE-2023-21944, CVE-2023-21945, CVE-2023-21946, CVE-2023-21947, CVE-2023-21948, CVE-2023-21952, CVE-2023-21953, CVE-2023-21954, CVE-2023-21955, CVE-2023-21956, CVE-2023-21959, CVE-2023-21960, CVE-2023-21962, CVE-2023-21963, CVE-2023-21964, CVE-2023-21965, CVE-2023-21966, CVE-2023-21967, CVE-2023-21968, CVE-2023-21969, CVE-2023-21970, CVE-2023-21971, CVE-2023-21972, CVE-2023-21973, CVE-2023-21976, CVE-2023-21977, CVE-2023-21978, CVE-2023-21979, CVE-2023-21980, CVE-2023-21981, CVE-2023-21982, CVE-2023-21984, CVE-2023-21985, CVE-2023-21986, CVE-2023-21987, CVE-2023-21988, CVE-2023-21989, CVE-2023-21990, CVE-2023-21991, CVE-2023-21992, CVE-2023-21993, CVE-2023-21996, CVE-2023-21997, CVE-2023-21998, CVE-2023-21999, CVE-2023-22000, CVE-2023-22001, CVE-2023-22002, CVE-2023-22003, CVE-2023-22899, CVE-2023-23914, CVE-2023-23915, CVE-2023-23916, CVE-2023-23918, CVE-2023-23919, CVE-2023-23920, CVE-2023-23931, CVE-2023-23934, CVE-2023-23936, CVE-2023-24998, CVE-2023-25136, CVE-2023-25194, CVE-2023-25577, CVE-2023-25613, CVE-2023-25690, CVE-2023-27522, CVE-2023-28708

IOC

–

Zasiahnuté systémy

JD Edwards Enterprise-One Orchestrator, vo verziách starších ako 9.2.7.3
JD Edwards Enterprise-One Tools, vo verziách starších ako 9.2.7.3
JD Edwards World Security, vo verzii A9.4
Management Cloud Engine, vo verzii 22.1.0.0.0
My-SQL Cluster, vo verziách 7.5.29 a starších, 7.6.25 a starších, 8.0.32 a starších
My-SQL Connectors, vo verziách 8.0.32 a starších
My-SQL Enterprise Monitor, vo verziách 8.0.33 a starších
My-SQL Server, vo verziách 5.7.41 a starších, 8.0.32 a starších
My-SQL Workbench, vo verziách 8.0.32 a starších
Oracle Access Manager, vo verzii 12.2.1.4.0
Oracle Agile PLM, vo verzii 9.3.6
Oracle Application Testing Suite, vo verzii 13.3.0.1
Oracle Argus Insight, vo verziách starších ako 8.2.3
Oracle Argus Safety, vo verziách starších ako 8.2.3
Oracle BI Publisher, vo verziách 6.4.0.0.0, 12.2.1.4.0
Oracle Banking APIs, vo verziách 18.2, 18.3, 19.1, 19.2, 21.1, 22.1, 22.2
Oracle Banking Corporate Lending Process Management, vo verziách 14.414.7
Oracle Banking Corporate Lending, vo verziách 14.014.3, 14.514.7
Oracle Banking Digital Experience, vo verziách 18.2, 18.3, 19.1, 19.2, 21.1, 22.1, 22.2
Oracle Banking Payments, vo verziách 14.5, 14.6, 14.7
Oracle Banking Trade Finance, vo verziách 14.5, 14.6, 14.7
Oracle Banking Treasury Management, vo verziách 14.5, 14.6, 14.7
Oracle Banking Virtual Account Management, vo verziách 14.5, 14.6, 14.7
Oracle Big Data Spatial and Graph, vo verziách starších ako 23.1
Oracle Blockchain Platform, vo verziách starších ako 21.1.3
Oracle Business Intelligence Enterprise Edition, vo verziách 5.9.0.0.0, 6.4.0.0.0, 12.2.1.4.0
Oracle Business Process Management Suite, vo verzii 12.2.1.4.0
Oracle Clinical Remote Data Capture, vo verzii 5.4.0.2
Oracle Coherence, vo verziách 12.2.1.4.0, 14.1.1.0.0
Oracle Commerce Guided Search, vo verzii 11.3.2
Oracle Commerce Platform, vo verziách 11.3.0, 11.3.1, 11.3.2
Oracle Communications Cloud Native Configuration Console, vo verziách 22.4.1, 23.1.0
Oracle Communications Cloud Native Core Automated Test Suite, vo verziách 22.3.1, 22.4.0
Oracle Communications Cloud Native Core Binding Support Function, vo verziách 22.4.022.4.4, 23.1.023.1.1
Oracle Communications Cloud Native Core Console, vo verziách 22.3.0, 22.4.0
Oracle Communications Cloud Native Core Network Exposure Function, vo verziách 22.4.2, 23.1.0
Oracle Communications Cloud Native Core Network Function Cloud Native Environment, vo verzii 22.4.0
Oracle Communications Cloud Native Core Network Repository Function, vo verzii 23.1.0
Oracle Communications Cloud Native Core Policy, vo verziách 22.4.022.4.4, 23.1.023.1.1
Oracle Communications Cloud Native Core Security Edge Protection Proxy, vo verziách 22.4.0, 22.4.1, 22.4.2, 23.1.0
Oracle Communications Cloud Native Core Service Communication Proxy, vo verziách 22.3.0, 22.4.0
Oracle Communications Cloud Native Core Unified Data Repository, vo verziách 22.4.1, 23.1.0
Oracle Communications Convergent Charging Controller, vo verziách 6.0.1.0.0, 12.0.1.0.012.0.6.0.0
Oracle Communications Core Session Manager, vo verziách 8.45, 9.15
Oracle Communications Diameter Signaling Router, vo verzii 8.6.0.0
Oracle Communications Element Manager, vo verziách 9.0.0, 9.0.1
Oracle Communications IP Service Activator, vo verziách 7.4.0, 7.5.0
Oracle Communications Network Charging and Control, vo verziách 6.0.1.0.0, 12.0.1.0.0 a 12.0.6.0.0
Oracle Communications Operations Monitor, vo verzii 5.0
Oracle Communications Order and Service Management, vo verzii 7.4.1
Oracle Communications Policy Management, vo verzii 12.6.0.0.0
Oracle Communications Services Gatekeeper, vo verzii 7.0.0.0.0
Oracle Communications Session Border Controller, vo verziách 9.0, 9.1
Oracle Communications Session Report Manager, vo verziách 9.0.0, 9.0.1
Oracle Communications Session Router, vo verziách 9.0, 9.1
Oracle Communications Subscriber-Aware Load Balancer, vo verziách 9.0, 9.1
Oracle Communications Unified Assurance, vo verziách 5.5.05.5.10, 6.0.06.0.2
Oracle Communications Unified Inventory Management, vo verziách 7.4.0, 7.4.1, 7.4.2, 7.5.0
Oracle Communications User Data Repository, vo verzii 12.6.1.0.0
Oracle Data Integrator, vo verzii 12.2.1.4.0
Oracle Database Server, vo verziách 19c, 21c
Oracle Documaker, vo verziách 12.6.0.0.0, 12.6.2.0.012.6.4.0.0, 12.7.0.0.0, 12.7.1.0.0
Oracle EBusiness Suite, vo verziách 12.2.312.2.12
Oracle Enterprise Communications Broker, vo verziách 3.3, 4.0
Oracle Enterprise Manager Ops Center, vo verzii 12.4.0.0
Oracle Enterprise Session Router, vo verzii 9.1
Oracle Essbase, vo verzii 21.4
Oracle FLEXCUBE Core Banking, vo verziách 11.6, 11.7, 11.8, 11.10, 11.11
Oracle FLEXCUBE Universal Banking, vo verziách 14.014.3, 14.514.7
Oracle Financial Services Analytical Applications Infrastructure, vo verziách 8.0.7.0, 8.0.8.0, 8.0.9.0, 8.1.0.0, 8.1.1.0, 8.1.2.0, 8.1.2.1, 8.1..2
Oracle Financial Services Analytical Applications Reconciliation Framework, vo verziách 8.0.7.1.2, 8.1.1.1.7
Oracle Financial Services Asset Liability Management, vo verzii 8.0.7.8.0
Oracle Financial Services Balance Computation Engine, vo verzii 8.1.1.1.1
Oracle Financial Services Balance Sheet Planning, vo verzii 8.0.8.1.4
Oracle Financial Services Behavior Detection Platform, vo verziách 8.0.8.1, 8.1.1.1, 8.1.2.3, 8.1.2.4
Oracle Financial Services Compliance Studio, vo verzii 8.1.2.4
Oracle Financial Services Crime and Compliance Management Studio, vo verzii 8.0.8.3.5
Oracle Financial Services Currency Transaction Reporting, vo verziách 8.0.8.1.0, 8.1.1.1.0, 8.1.2.3.0, 8.1.2.4.1
Oracle Financial Services Data Governance for US Regulatory Reporting, vo verziách 8.1.2.0, 8.1.2.1
Oracle Financial Services Data Integration Hub, vo verziách 8.0.7.3.1, 8.1.0.1.4, 8.1.2.2.1
Oracle Financial Services Deposit Insurance Calculations for Liquidity Risk Management, vo verziách 8.0.7.3.1, 8.0.8.3.1
Oracle Financial Services Enterprise Case Management, vo verziách 8.0.8.2, 8.1.1.1, 8.1.2.3, 8.1.2.4
Oracle Financial Services Enterprise Financial Performance Analytics, vo verzii 8.0.7.8.1
Oracle Financial Services Funds Transfer Pricing, vo verzii 8.0.7.8.1
Oracle Financial Services Institutional Performance Analytics, vo verzii 8.0.7.8.1
Oracle Financial Services Liquidity Risk Measurement and Management, vo verziách 8.0.7.3.1, 8.0.8.3.1
Oracle Financial Services Loan Loss Forecasting and Provisioning, vo verziách 8.0.7.8.1, 8.0.8.2.1
Oracle Financial Services Model Management and Governance, vo verziách 8.1.0.0, 8.1.2.0
Oracle Financial Services Profitability Management, vo verzii 8.0.7.8.1
Oracle Financial Services Regulatory Reporting with Agile-REPORTER, vo verzii 8.1.1.2.0
Oracle Financial Services Regulatory Reporting, vo verziách 8.0.8.1, 8.1.1.1, 8.1.2.3, 8.1.2.4
Oracle Financial Services Retail Performance Analytics, vo verzii 8.0.7.8.1
Oracle Financial Services Revenue Management and Billing, vo verziách 2.7, 2.7.1, 2.8, 2.9, 2.9.1, 3.0, 3.1, 3.2, 4.0
Oracle Financial Services Trade-Based Anti Money Laundering Enterprise Edition, vo verzii 8.0.8.0.0
Oracle Golden-Gate Studio, vo verzii [Fusion Middleware] 12.2.1.4.0
Oracle Golden-Gate, vo verziách starších ako 19.1.0.0.230418, prior to 21.10.0.0.0
Oracle Graal-VM Enterprise Edition, vo verziách 20.3.8, 20.3.9, 21.3.4, 21.3.5, 22.3.0, 22.3.1
Oracle Graph Server and Client, vo verziách starších ako 23.1.0, prior to 23.2.0
Oracle HTTP Server, vo verzii 12.2.1.4.0
Oracle Health Sciences In-Form, vo verziách starších ako 6.3.1.3, prior to 7.0.0.1
Oracle Healthcare Foundation, vo verziách 8.1.0, 8.1.1, 8.2.0, 8.2.1, 8.2.2
Oracle Healthcare Master Person Index, vo verziách 5.0.05.0.4
Oracle Healthcare Translational Research, vo verziách 4.1.0, 4.1.1
Oracle Hospitality OPERA 5 Property Services, vo verzii 5.6
Oracle Hyperion Financial Reporting, vo verzii 11.2.12
Oracle Hyperion Infrastructure Technology, vo verzii 11.2.12
Oracle Identity Manager, vo verzii 12.2.1.4.0
Oracle Insurance Policy Administration Operational Data Store for Life and Annuity, vo verzii 1.0.1.8
Oracle JDeveloper, vo verzii 12.2.1.4.0
Oracle Java SE, vo verziách 8u361, 8u361perf, 11.0.18, 17.0.6, 20
Oracle Managed File Transfer, vo verzii 12.2.1.4.0
Oracle Middleware Common Libraries and Tools, vo verzii 12.2.1.4.0
Oracle No-SQL Database, vo verziách starších ako 19.5.32
Oracle Outside In Technology, vo verzii 8.5.6
Oracle REST Data Services, vo verziách starších ako 23.1.0
Oracle Retail Customer Management and Segmentation Foundation, vo verziách 18.0.0.12, 19.0.0.6
Oracle Retail Fiscal Management, vo verzii 14.2
Oracle Retail Invoice Matching, vo verziách 15.0.3, 16.0.3
Oracle Retail Merchandising System, vo verziách 15.0.3.1, 16.0.2, 16.0.3
Oracle Retail Predictive Application Server, vo verziách 15.0.3, 16.0.3
Oracle Retail Price Management, vo verziách 14.1.3.2, 15.0.3.1, 16.0.3
Oracle Retail Sales Audit, vo verzii 15.0.3.1
Oracle Retail Xstore Office Cloud Service, vo verziách 18.0.5, 19.0.4, 20.0.3, 21.0.2
Oracle Retail Xstore Point of Service, vo verziách 17.0.6, 18.0.5, 19.0.4, 20.0.3, 21.0.2
Oracle SDWAN Aware, vo verzii 9.0.1.6.0
Oracle SDWAN Edge, vo verziách 9.1.1.3.0, 9.1.1.4.0
Oracle SOA Suite, vo verzii 12.2.1.4.0
Oracle SQL Developer, vo verziách starších ako 22.4.0, prior to 23.1.0
Oracle Solaris, vo verziách 10, 11
Oracle Times-Ten In-Memory Database, vo verziách starších ako 22.1.1.7.0
Oracle Utilities Application Framework, vo verziách 4.2.0.3.0, 4.3.0.1.04.3.0.6.0, 4.4.0.0.0, 4.4.0.2.0, 4.4.0.3.0, 4.5.0.0.0
Oracle Utilities Network Management System, vo verziách 2.3.0.2, 2.4.0.1, 2.5.0.0, 2.5.0.1, 2.5.0.2
Oracle VM Virtual-Box, vo verziách starších ako 6.1.44, prior to 7.0.8
Oracle Web-Center Portal, vo verzii 12.2.1.4.0
Oracle Web-Center Sites, vo verzii 12.2.1.4.0
Oracle Web-Logic Server, vo verziách 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0
Oracle i-Learning, vo verzii 6.3.1
People-Soft Enterprise HCM Human Resources, vo verzii 9.2
People-Soft Enterprise People-Tools, vo verziách 8.58, 8.59, 8.60
Primavera P6 Enterprise Project Portfolio Management, vo verziách 18.8.018.8.26, 19.12.019.12.21, 20.12.020.12.18, 21.12.021.12.12, 22.12.022.12.3
Primavera Unifier, vo verziách 18.8.018.8.18, 19.12.019.12.16, 20.12.020.12.16, 21.12.021.12.14, 22.12.022.12.3
Siebel Applications, vo verziách 21.10 a starších, 22.10 a starších, 23.3 a starších

Následky

Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému

Odporúčania

Administrátorom a používateľom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov.
Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč.

Zdroje

https://www.oracle.com/security-alerts/cpuapr2023.html
https://nvd.nist.gov/vuln/detail/CVE-2022-43401

« Späť na zoznam

SK-CERT Bezpečnostné varovanie V20230419-06

SK-CERT Bezpečnostné varovanie V20240419-04

SK-CERT Bezpečnostné varovanie V20240419-03

SK-CERT Bezpečnostné varovanie V20240419-02