SK-CERT Bezpečnostné varovanie V20230720-06

20. júla 2023

Dôležitosť	Kritická
Klasifikácia	Neutajované/TLP:CLEAR
CVSS Skóre	9.8

Identifikátor

Oracle produkty – viacero kritických bezpečnostných zraniteľností

Popis

Spoločnosť Oracle vydala bezpečnostné aktualizácie na svoje portfólio produktov, ktoré opravujú viacero kritických bezpečnostných zraniteľností.
Najzávažnejšia kritická bezpečnostná zraniteľnosť sa nachádza v komponente REST API produktu Communications Billing and Revenue Management, spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a umožňuje vzdialenému, neautentifikovanému útočníkovi prostredníctvom podvrhnutia špeciálne vytvorených súborov vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému.

Dátum prvého zverejnenia varovania

18.07.2023

CVE

CVE-2006-20001, CVE-2018-1282, CVE-2018-25032, CVE-2018-8032, CVE-2019-0227, CVE-2019-10086, CVE-2019-12402, CVE-2019-13990, CVE-2019-17495, CVE-2019-17531, CVE-2019-17571, CVE-2020-10735, CVE-2020-11988, CVE-2020-11998, CVE-2020-13936, CVE-2020-13947, CVE-2020-13949, CVE-2020-13956, CVE-2020-15250, CVE-2020-17521, CVE-2020-1926, CVE-2020-1953, CVE-2020-29508, CVE-2020-35163, CVE-2020-35164, CVE-2020-35166, CVE-2020-35167, CVE-2020-35168, CVE-2020-35169, CVE-2020-36518, CVE-2020-7712, CVE-2020-7760, CVE-2020-8908, CVE-2020-9493, CVE-2021-21295, CVE-2021-22569, CVE-2021-23926, CVE-2021-24112, CVE-2021-25220, CVE-2021-25642, CVE-2021-26117, CVE-2021-28168, CVE-2021-29338, CVE-2021-29425, CVE-2021-33813, CVE-2021-34429, CVE-2021-34538, CVE-2021-3520, CVE-2021-35515, CVE-2021-35516, CVE-2021-35517, CVE-2021-36090, CVE-2021-36373, CVE-2021-36374, CVE-2021-37533, CVE-2021-40528, CVE-2021-40690, CVE-2021-4104, CVE-2021-41182, CVE-2021-41183, CVE-2021-41184, CVE-2021-41973, CVE-2021-42575, CVE-2021-43113, CVE-2021-43859, CVE-2021-44228, CVE-2021-44832, CVE-2021-45046, CVE-2021-45105, CVE-2021-46877, CVE-2022-1122, CVE-2022-1471, CVE-2022-2047, CVE-2022-2048, CVE-2022-21189, CVE-2022-2191, CVE-2022-22950, CVE-2022-22970, CVE-2022-22971, CVE-2022-23302, CVE-2022-23305, CVE-2022-23307, CVE-2022-23437, CVE-2022-23457, CVE-2022-23469, CVE-2022-23491, CVE-2022-24409, CVE-2022-24728, CVE-2022-24729, CVE-2022-24891, CVE-2022-25147, CVE-2022-25168, CVE-2022-25647, CVE-2022-26612, CVE-2022-27404, CVE-2022-27405, CVE-2022-27406, CVE-2022-2795, CVE-2022-29361, CVE-2022-29546, CVE-2022-2963, CVE-2022-31129, CVE-2022-31160, CVE-2022-31197, CVE-2022-31630, CVE-2022-31690, CVE-2022-31692, CVE-2022-3171, CVE-2022-31777, CVE-2022-33879, CVE-2022-33980, CVE-2022-34305, CVE-2022-34364, CVE-2022-3479, CVE-2022-3602, CVE-2022-36033, CVE-2022-36760, CVE-2022-36944, CVE-2022-37434, CVE-2022-37436, CVE-2022-37454, CVE-2022-3786, CVE-2022-37865, CVE-2022-37866, CVE-2022-38398, CVE-2022-38648, CVE-2022-38751, CVE-2022-38752, CVE-2022-39135, CVE-2022-3996, CVE-2022-40146, CVE-2022-40149, CVE-2022-40150, CVE-2022-40151, CVE-2022-40152, CVE-2022-40705, CVE-2022-40755, CVE-2022-40897, CVE-2022-41704, CVE-2022-41853, CVE-2022-41881, CVE-2022-41915, CVE-2022-41966, CVE-2022-42003, CVE-2022-42004, CVE-2022-4203, CVE-2022-42252, CVE-2022-42890, CVE-2022-42898, CVE-2022-42919, CVE-2022-42920, CVE-2022-4304, CVE-2022-43548, CVE-2022-43680, CVE-2022-4450, CVE-2022-45047, CVE-2022-45061, CVE-2022-45143, CVE-2022-45199, CVE-2022-45685, CVE-2022-45688, CVE-2022-45693, CVE-2022-45787, CVE-2022-46153, CVE-2022-46363, CVE-2022-46364, CVE-2022-48285, CVE-2022-4899, CVE-2023-0215, CVE-2023-0216, CVE-2023-0217, CVE-2023-0286, CVE-2023-0361, CVE-2023-0401, CVE-2023-0464, CVE-2023-0465, CVE-2023-0466, CVE-2023-0767, CVE-2023-1255, CVE-2023-1370, CVE-2023-1436, CVE-2023-1999, CVE-2023-20860, CVE-2023-20861, CVE-2023-20862, CVE-2023-20863, CVE-2023-20873, CVE-2023-21830, CVE-2023-21835, CVE-2023-21843, CVE-2023-21949, CVE-2023-21950, CVE-2023-21961, CVE-2023-21971, CVE-2023-21974, CVE-2023-21975, CVE-2023-21983, CVE-2023-21994, CVE-2023-22004, CVE-2023-22005, CVE-2023-22006, CVE-2023-22007, CVE-2023-22008, CVE-2023-22009, CVE-2023-22010, CVE-2023-22011, CVE-2023-22012, CVE-2023-22013, CVE-2023-22014, CVE-2023-22016, CVE-2023-22017, CVE-2023-22018, CVE-2023-22020, CVE-2023-22021, CVE-2023-22022, CVE-2023-22023, CVE-2023-22027, CVE-2023-22031, CVE-2023-22033, CVE-2023-22034, CVE-2023-22035, CVE-2023-22036, CVE-2023-22037, CVE-2023-22038, CVE-2023-22039, CVE-2023-22040, CVE-2023-22041, CVE-2023-22042, CVE-2023-22043, CVE-2023-22044, CVE-2023-22045, CVE-2023-22046, CVE-2023-22047, CVE-2023-22048, CVE-2023-22049, CVE-2023-22050, CVE-2023-22051, CVE-2023-22052, CVE-2023-22053, CVE-2023-22054, CVE-2023-22055, CVE-2023-22056, CVE-2023-22057, CVE-2023-22058, CVE-2023-22060, CVE-2023-22061, CVE-2023-22062, CVE-2023-22809, CVE-2023-22899, CVE-2023-22946, CVE-2023-23914, CVE-2023-23915, CVE-2023-23916, CVE-2023-23931, CVE-2023-24532, CVE-2023-24998, CVE-2023-25193, CVE-2023-25194, CVE-2023-25652, CVE-2023-25658, CVE-2023-25659, CVE-2023-25660, CVE-2023-25661, CVE-2023-25662, CVE-2023-25663, CVE-2023-25664, CVE-2023-25665, CVE-2023-25666, CVE-2023-25667, CVE-2023-25668, CVE-2023-25669, CVE-2023-25670, CVE-2023-25671, CVE-2023-25672, CVE-2023-25673, CVE-2023-25674, CVE-2023-25675, CVE-2023-25676, CVE-2023-25690, CVE-2023-25801, CVE-2023-26048, CVE-2023-26049, CVE-2023-26119, CVE-2023-2650, CVE-2023-27522, CVE-2023-27533, CVE-2023-27534, CVE-2023-27579, CVE-2023-27898, CVE-2023-27899, CVE-2023-27900, CVE-2023-27901, CVE-2023-27902, CVE-2023-27903, CVE-2023-27904, CVE-2023-28439, CVE-2023-28484, CVE-2023-28708, CVE-2023-28709, CVE-2023-28856, CVE-2023-29007, CVE-2023-29469, CVE-2023-30533, CVE-2023-30535, CVE-2023-30861, CVE-2023-31284, CVE-2023-34981

IOC

–

Zasiahnuté systémy

Presnú špecifikáciu jednotlivých zasiahnutých produktov nájdete na odkaze v časti ZDROJE.

Následky

Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému

Odporúčania

Administrátorom a používateľom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov.
Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč.
Taktiež odporúčame poučiť používateľov, aby neotvárali neoverené e-mailové správy, prílohy z neznámych zdrojov a nenavštevovali nedôveryhodné webové stránky.

Zdroje

https://www.oracle.com/security-alerts/cpujul2023.html

« Späť na zoznam

SK-CERT Bezpečnostné varovanie V20230720-06

SK-CERT Bezpečnostné varovanie V20240429-02

SK-CERT Bezpečnostné varovanie V20240429-01

SK-CERT Bezpečnostné varovanie V20240426-05