CSIRT Toscana Critical Patch Update di Oracle (AL02/241016/CSIRT-ITA)
Data:
16 Ottobre 2024 11:40
Sintesi
Oracle ha rilasciato il Critical Patch Update di ottobre che descrive 334 vulnerabilità su più prodotti, di cui 16 con gravità “critica”. Tra queste, alcune potrebbero essere sfruttate per eseguire operazioni non autorizzate oppure compromettere la disponibilità del servizio sui sistemi target.
Stima d’impatto della vulnerabilità sulla comunità di riferimento: MEDIO/GIALLO (62,3/100)1.
Tipologia
- Denial of Service
- Remote Code Execution
- Security Restrictions Bypass
- Information Disclosure
- Elevation of Privilege
- Data Manipulation
Prodotti e versioni affette
Oracle
- BI Publisher
- Business Intelligence Enterprise Edition
- Commerce Guided Search
- Communications Cloud Native Core
- Communications Network Analytics Data Director
- Communications Unified Assurance
- Enterprise Communications Broker
- Enterprise Manager Base Platform
- Hospitality OPERA 5
- MySQL
- Oracle Banking Cash Management
- Oracle Banking Supply Chain Finance
- Outside In Technology
- SD-WAN Aware
- SD-WAN Edge
- Solaris Cluster
- WebCenter Forms Recognition
- WebLogic Server
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si consiglia di aggiornare i prodotti all’ultima versione disponibile.
Per approfondimenti sui prodotti interessati e sulle modalità di intervento si consiglia di fare riferimento al bollettino di sicurezza disponibile nella sezione Riferimenti.
Indicatori univoci vulnerabilità
Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “critica”:
Riferimenti
https://www.oracle.com/security-alerts/cpuoct2024.html
1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.