Consorzio Metis

CSIRT Toscana

CSIRT Toscana

Critical Patch Update di Oracle (AL03/240117/CSIRT-ITA) – Aggiornamento

Data:
6 Febbraio 2024 18:02

Data di creazione: 17/01/2024 12:00

Sintesi

Oracle ha rilasciato il Critical Patch Update di gennaio che descrive 389 vulnerabilità su più prodotti, di cui 17 con gravità “critica”. Tra queste, alcune potrebbero essere sfruttate per eseguire operazioni non autorizzate oppure compromettere la disponibilità del servizio sui sistemi target.

Note (aggiornamento del 06/02/2024): un Proof of Concept (PoC) per lo sfruttamento della vulnerabilità CVE-2024-20931 risulta disponibile in rete.

Rischio

Stima d’impatto della vulnerabilità sulla comunità di riferimento: MEDIO/GIALLO (62,3/100)1.

Tipologia

  • Data Manipulation
  • Denial of Service
  • Elevation of Privilege
  • Information Disclosure
  • Remote Code Execution
  • Security Restriction Bypass

Prodotti e versioni affette

Oracle

  • Analytics
  • Audit Vault and Database Firewall
  • Big Data Spatial and Graph
  • Commerce
  • Communications
  • Communications Applications
  • Construction and Engineering
  • Database Server
  • E-Business Suite
  • Enterprise Manager
  • Essbase
  • Financial Services Applications
  • Fusion Middleware
  • Global Lifecycle Management
  • GoldenGate
  • Graph Server and Client
  • Hyperion
  • Java SE
  • JD Edwards
  • MySQL
  • NoSQL Database
  • PeopleSoft
  • REST Data Services
  • Retail Applications
  • Secure Backup
  • Siebel CRM
  • SQL Developer
  • Supply Chain
  • Systems
  • TimesTen In-Memory Database
  • Utilities Applications

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si consiglia di aggiornare i prodotti all’ultima versione disponibile.

Per approfondimenti sui prodotti interessati e sulle modalità di intervento si consiglia di fare riferimento al bollettino di sicurezza disponibile nella sezione Riferimenti.

Indicatori univoci vulnerabilità

Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “critica”:

CVE-2021-42575

CVE-2021-43527

CVE-2021-46848

CVE-2022-1471

CVE-2022-23221

CVE-2022-29155

CVE-2022-31692

CVE-2022-36944

CVE-2022-37434

CVE-2022-42920

CVE-2022-48174

CVE-2023-32002

CVE-2023-34034

CVE-2023-38545

CVE-2023-44981

CVE-2023-46604

CVE-2023-50164

Aggiornamento del 06/02/2024

CVE-2024-20931

Riferimenti

https://www.oracle.com/security-alerts/cpujan2024.html

https://www.oracle.com/security-alerts/cpujan2024verbose.html

 

1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.

Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità.