Consorzio Metis

CSIRT Toscana

CSIRT Toscana

Critical Patch Update di Oracle (AL01/240417/CSIRT-ITA) – Aggiornamento

Data:
23 Aprile 2024 12:03

Data di creazione: 17/04/2024 10:34

Sintesi

Oracle ha rilasciato il Critical Patch Update di aprile che descrive molteplici vulnerabilità su più prodotti, di cui 18 con gravità “critica”. Tra queste, alcune potrebbero essere sfruttate per eseguire operazioni non autorizzate o compromettere la disponibilità del servizio sui sistemi target.

Note (aggiornamento del 23/04/2024): un Proof of Concept (PoC) per lo sfruttamento della CVE-2024-21111 risulta disponibile in rete.

Rischio

Stima d’impatto della vulnerabilità sulla comunità di riferimento: MEDIO/GIALLO (64,41/100)1.

Tipologia

  • Data Manipulation
  • Denial of Service
  • Elevation of Privilege
  • Information Disclosure
  • Remote Code Execution
  • Security Restriction Bypass

Prodotti e/o versioni affette

Oracle

  • Analytics
  • Autonomous Health Framework
  • Big Data Spatial and Graph
  • Commerce
  • Communications
  • Communications Applications
  • Construction and Engineering
  • Database Server
  • E-Business Suite
  • Enterprise Manager
  • Essbase
  • Financial Services Applications
  • Food and Beverage Applications
  • Fusion Middleware
  • Global Lifecycle Management
  • GoldenGate
  • Health Sciences Applications
  • HealthCare Applications
  • Hospitality Applications
  • Hyperion
  • Insurance Applications
  • Java SE
  • MySQL
  • PeopleSoft
  • Retail Applications
  • Siebel CRM
  • Supply Chain
  • Support Tools
  • Systems
  • TimesTen In-Memory Database
  • Utilities Applications
  • Virtualization
  • VirtualBox

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si consiglia di aggiornare i prodotti all’ultima versione disponibile.

Per approfondimenti sui prodotti interessati e sulle modalità di intervento si consiglia di fare riferimento al bollettino di sicurezza disponibile nella sezione Riferimenti.

Indicatori univoci vulnerabilità

Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “critica”:

CVE-2019-13990

CVE-2020-35168

CVE-2021-23369

CVE-2022-1471

CVE-2022-34381

CVE-2022-42889

CVE-2022-42920

CVE-2022-45378

CVE-2022-46337

CVE-2022-46364

CVE-2023-38545

CVE-2023-47100

CVE-2024-1597

CVE-2024-20997

CVE-2024-21010

CVE-2024-21014

CVE-2024-21071

CVE-2024-21082

CVE-2024-21111

Riferimenti

https://www.oracle.com/security-alerts/cpuapr2024.html

1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.

Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità.