Consorzio Metis

CSIRT Toscana

CSIRT Toscana

Critical Patch Update di Oracle (AL01/240717/CSIRT-ITA) – Aggiornamento

Data:
30 Luglio 2024 14:34

Data di creazione: 17/07/2024 – 11:20

Sintesi

Oracle ha rilasciato il Critical Patch Update di luglio che descrive 386 vulnerabilità su più prodotti, di cui 14 con gravità “critica”. Tra queste, alcune potrebbero essere sfruttate per eseguire operazioni non autorizzate oppure compromettere la disponibilità del servizio sui sistemi target.

Note (aggiornamento del 30/07/2024): dei Proof of Concept (PoC) per lo sfruttamento delle CVE-2022-21797 e CVE-2022-0239 risultano disponibili in rete.

Rischio

Stima d’impatto della vulnerabilità sulla comunità di riferimento: MEDIO/GIALLO (62,3/100)1.

Tipologia

  • Denial of Service
  • Security Restriction Bypass
  • Information Disclosure
  • Data Manipulation

Prodotti e versioni affette

Oracle

  • Analytics
  • Application Express
  • Big Data Spatial and Graph
  • Commerce
  • Communications
  • Communications Applications
  • Construction and Engineering
  • Database Server
  • E-Business Suite
  • Enterprise Manager
  • Essbase
  • Financial Services Applications
  • Fusion Middleware
  • GoldenGate
  • Graph Server and Client
  • HealthCare Applications
  • Hyperion
  • Insurance Applications
  • JD Edwards
  • Java SE
  • MySQL
  • NoSQL Database
  • PeopleSoft
  • REST Data Services
  • Retail Applications
  • Siebel CRM
  • Supply Chain
  • Systems
  • TimesTen In-Memory Database
  • Utilities Applications
  • Virtualization

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si consiglia di aggiornare i prodotti all’ultima versione disponibile.

Per approfondimenti sui prodotti interessati e sulle modalità di intervento si consiglia di fare riferimento al bollettino di sicurezza disponibile nella sezione Riferimenti.

Indicatori univoci vulnerabilità

Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “critica”:

CVE-2021-23921

CVE-2022-0239

CVE-2022-21797

CVE-2022-34381

CVE-2022-36944

CVE-2022-37434

CVE-2022-45378

CVE-2022-48174

CVE-2023-34034

CVE-2023-37920

CVE-2023-45853

CVE-2023-47248

CVE-2024-21181

CVE-2024-23897

Riferimenti

https://www.oracle.com/security-alerts/cpujul2024.html

1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.

Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità.