Refuerza la seguridad de tu empresa: Actualizaciones Oracle Abril 2024.

Oracle

En el mundo actual en constante cambio, la ciberseguridad se ha convertido en una prioridad absoluta para las empresas y organizaciones de todo tipo. Las amenazas cibernéticas se están volviendo cada vez más sofisticadas, y es fundamental que las empresas tomen medidas para proteger sus sistemas y datos.

Oracle, uno de los principales proveedores de software empresarial del mundo, es consciente de la importancia de la ciberseguridad. La compañía publica regularmente actualizaciones de seguridad para sus productos, con el fin de corregir vulnerabilidades que podrían ser explotadas por los atacantes.

Productos y sistemas afectados

Base de Datos:

  • Oracle Database Server (versiones 19.3 – 19.22, 21.3 – 21.13)
  • MySQL Cluster (versiones anteriores a 7.5.33, 7.6.29, 8.0.36, 8.2.0 y 8.3.0)
  • MySQL Connectors (versiones anteriores a 8.3.0)
  • MySQL Enterprise Backup (versiones anteriores a 8.0.36 y 8.3.0)
  • MySQL Enterprise Monitor (versiones anteriores a 8.0.37)
  • MySQL Server (versiones anteriores a 8.0.36, 8.2.0 y 8.3.0)
  • Oracle TimesTen In-Memory Database (versiones anteriores a 22.1, anteriores a 22.1.1.19.0 y anteriores a 22.1.1.23.0)

Middleware:

  • Oracle Fusion Middleware (versiones 12.2.1.4.0 y 14.1.1.0.0)
  • Oracle WebLogic Server (versiones 12.2.1.4.0 y 14.1.1.0.0)
  • Oracle SOA Suite (versión 12.2.1.4.0)
  • Oracle WebCenter Content (versión 12.2.1.4.0)
  • Oracle WebCenter Enterprise Capture (versión 12.2.1.4.0)
  • Oracle WebCenter Portal (versión 12.2.1.4.0)
  • Oracle Coherence (versiones 12.2.1.4.0 y 14.1.1.0.0)
  • Oracle GoldenGate (versiones 19.1.0.0.0-19.22.0.0.240124 y 21.3-21.13)
  • Oracle GoldenGate Stream Analytics (versiones 19.1.0.0.0-19.1.0.0.8)
  • Oracle GoldenGate Studio (versión 12.2.0.4.0)
  • Oracle GoldenGate Veridata (versiones 12.2.1.4.0-12.2.1.4.230922)
  • Oracle HTTP Server (versiones 12.2.1.4.0 y 14.1.1.0.0)
  • Oracle Identity Manager (versión 12.2.1.4.0)
  • Oracle Identity Manager Connector (versión 12.2.1.3.0)
  • Oracle Internet Directory (versión 12.2.1.4.0)
  • Oracle Web Services Manager (versión 12.2.1.4.0)
  • Oracle Data Integrator (versión 12.2.1.4.0)
  • Oracle Managed File Transfer (versión 12.2.1.4.0)
  • Oracle Middleware Common Libraries y Tools (versiones 12.2.1.4.0 y 14.1.1.0.0)
  • Oracle BI Publisher (versiones 7.0.0.0.0 y 12.2.1.4.0)
  • Oracle Business Intelligence Enterprise Edition (versiones 7.0.0.0.0 y 12.2.1.4.0)

Aplicaciones Empresariales:

  • Oracle E-Business Suite (versiones 12.2.3-12.2.13)
  • Oracle PeopleSoft (versiones 8.59, 8.60 y 8.61)
  • Oracle Siebel Applications (versiones 24.2 y anteriores)
  • Oracle Banking Platform (versiones 2.7.0.0.0 y 2.12.0.0.0)
  • Oracle Banking APIs (versiones 19.1.0.0.0-22.2.0.0.0)
  • Oracle Banking Branch (versiones 14.5.0.0.
  • Oracle Banking Cash Management (versiones 14.5.0.0.0-14.7.0.0.0)
  • Oracle Banking Deposits y Lines of Credit Servicing (versión 2.12.0.0.0)
  • Oracle Banking Digital Experience (versiones 19.1.0.0.0-22.2.0.0.0)
  • Oracle Banking Enterprise Default Management (versiones 2.7.0.0.0 y 2.12.0.0.0)
  • Oracle Banking Liquidity Management (versiones 14.5.0.0.0-14.7.0.0.3)
  • Oracle Banking Loans Servicing (versión 2.12.0.0.0)
  • Oracle Banking Origination (versiones 14.5.0.0.0-14.7.0.0.0)
  • Oracle Banking Party Management (versión 2.7.0.0.0)
  • Oracle Financial Services Revenue Management y Billing (versiones 2.8.0.0.0-5.0.0.0)
  • Oracle FLEXCUBE Private Banking (versión 12.1.0.0.0)
  • Oracle Retail Assortment Planning (versiones 15.0.3 y 16.0.3)
  • Oracle Retail Customer Management y Segmentation Foundation (versión 19.0.0.9)
  • Oracle Retail Integration Bus (versiones 14.1.3.2, 15.0.3.1 y 16.0.3)
  • Oracle Retail Merchandising System (versiones 14.1.3, 15.0.3, 16.0.3 y 19.0.1)
  • Oracle Retail Sales Audit (versiones 14.1.3.1, 15.0.3.1, 16.0.3 y 19.0.1)
  • Oracle Retail Service Backbone (versiones 14.1.3.2, 15.0.3.1, 16.0.3 y 19.0.1)
  • Oracle Retail Xstore Point of Service (versiones 19.0.5, 20.0.4, 21.0.3, 22.0.1 y 23.0.1)
  • Oracle Transportation Management (versiones 6.5.2 y 6.5.3)
  • Oracle Utilities Application Framework (versiones 4.3.0.3.0-4.5.0.1.2)
  • Oracle Utilities Network Management System (versiones 2.3.0.2-2.6.0.1)

Sistemas Operativos y Gestión:

  • Oracle Solaris (versión 11)
  • Oracle Solaris Cluster (versión 4)
  • Oracle VM VirtualBox (versiones anteriores a 7.0.16)
  • OPatch (versiones anteriores a 12.2.0.1.42)
  • OPatchAuto (versiones anteriores a 12.2.0.1.42)
  • OSS Support Tools (versiones 2.12.44, 2.12.45, 23.1.23.1.17 y 24.1.24.1.16)

Otras:

  • Oracle Access Manager (versión 12.2.1.4.0)
  • Oracle Agile PLM (versión 9.3.6)
  • Oracle Agile Product Lifecycle Management para Process (versión 6.2.4.2)
  • Oracle Application Testing Suite (versión 13.3.0.1)
  • Oracle Big Data Spatial y Graph (versión 3.0.5)
  • Oracle Commerce Guided Search (versión 11.3.2)
  • Oracle Commerce Platform (versiones 11.3.0, 11.3.1 y 11.3.2)
  • Oracle Communications Billing y Revenue Management (versiones 12.0.0.4-12.0.0.8 y 15.0.0.0)
  • Oracle Communications BRM – Elastic Charging Engine (versiones 12.0.0.4-12.0.0)
  • Oracle Communications Cloud Native Core Binding Support Function (versiones 23.4.0-23.4.2)
  • Oracle Communications Cloud Native Core Console (versión 23.4.0)
  • Oracle Communications Cloud Native Core Network Data Analytics Function (versión 24.1.0)
  • Oracle Communications Cloud Native Core Network Exposure Function (versión 23.4.1)
  • Oracle Communications Cloud Native Core Network Function Cloud Native Environment (versiones 23.2.0, 23.3.1 y 23.4.0)
  • Oracle Communications Cloud Native Core Network Repository Function (versión 23.4.1)
  • Oracle Communications Cloud Native Core Network Slice Selection Function (versiones 23.2.0 y 23.3.0)
  • Oracle Communications Cloud Native Core Policy (versiones 23.4.0-23.4.2)
  • Oracle Communications Cloud Native Core Security Edge Protection Proxy (versiones 23.3.0 y 23.4.0)
  • Oracle Communications Cloud Native Core Service Communication Proxy (versiones 23.1.0, 23.2.2, 23.3.0 y 23.4.0)
  • Oracle Communications Cloud Native Core Unified Data Repository (versiones 22.4.0, 23.1.0, 23.2.0 y 23.3.2)
  • Oracle Communications Diameter Signaling Router (versión 9.0.0.0)
  • Oracle Communications Element Manager (versiones 9.0.0-9.0.2)
  • Oracle Communications Fraud Monitor (versiones 5.0, 5.1 y 5.2)
  • Oracle Communications Network Integrity (versión 7.3.6.4)
  • Oracle Communications Offline Mediation Controller (versiones 12.0.0.1-12.0.0.8)
  • Oracle Communications Operations Monitor (versiones 5.0, 5.1 y 5.2)
  • Oracle Communications Service Catalog y Design (versión 8.0.0.1.0)
  • Oracle Communications Session Report Manager (versiones 9.0.0-9.0.2)
  • Oracle Communications Unified Inventory Management (versiones 7.4.0-7.4.2 y 7.5.0-7.5.1)
  • Oracle Communications User Data Repository (versión 14.0.0.0.0)
  • Oracle Communications WebRTC Session Controller (versiones 7.2.0.0.0-7.2.1.0.0)
  • Oracle Enterprise Data Quality (versión 12.2.1.4.0)
  • Oracle Enterprise Manager Base Platform (versión 13.5.0.0)
  • Oracle Enterprise Manager para Fusion Middleware (versión 13.5.0.0)
  • Oracle Essbase (versión 21.5.4.0.0)
  • Oracle Fusion Middleware MapViewer (versión 12.2.1.4.0)
  • Oracle Global Lifecycle Management NextGen OUI Framework (versión 12.2.1.4.0)
  • Oracle GraalVM Enterprise Edition (versiones 20.3.13 y 21.3.9)
  • Oracle GraalVM para JDK (versiones 17.0.10, 21.0.2 y 22)
  • Oracle Healthcare Data Repository (versiones 8.1.0.0, 8.1.1.0, 8.1.2.0, 8.1.3.0, 8.1.3.2 y 8.1.3.4)
  • Oracle Hospitality Cruise Shipboard Property Management System (versiones 20.3.3, 20.3.4, 23.1.0 y 23.1.1)
  • Oracle Hospitality Simphony (versiones 19.1.0-19.5.4)
  • Oracle Outside In Technology (versiones 8.5.6 y 8.5.7)
  • Oracle SD-WAN Edge (versión 9.1.1.7.0)
  • Oracle Smart View para Office (versión 11.2.16.0.0)
  • Primavera Gateway (Versiones 19.12.0-19.12.18, 20.12.0-20.12.13, 21.12.0-21.12.11)
  • Primavera P6 Enterprise Project Portfolio Management (Versiones 19.12.0-19.12.22, 20.12.0-20.12.21, 21.12.0-21.12.18, 22.12.0-22.12.12, 23.12.0-23.12.2)
  • Primavera Unifier (Versiones 19.12.0-19.12.16, 20.12.0-20.12.16, 21.12.0-21.12.17, 22.12.0-22.12.12, 23.12.0-23.12.3)
  • Oracle ZFS Storage Appliance Kit (Versión 8.8)

Resumen de Vulnerabilidades Oracle más destacables

Nivel de Severidad:

  • Crítico (CVSS >= 9.0): CVE-2024-21082, CVE-2024-21010
  • Alto (CVSS >= 7.0): CVE-2024-21071, CVE-2024-21092, CVE-2024-21095, CVE-2024-21007

Productos Afectados:

  • Oracle E-Business Suite: CVE-2024-21071
  • Oracle Supply Chain: CVE-2024-21092
  • Oracle Analytics: CVE-2024-21082
  • Oracle Construction and Engineering: CVE-2024-21095
  • Oracle Fusion Middleware: CVE-2024-21007
  • Oracle Food and Beverage Applications: CVE-2024-21010

Componentes Vulnerables:

  • Admin Screens and Grants UI (CVE-2024-21071)
  • Product Quality Management (CVE-2024-21092)
  • XML Services (CVE-2024-21082)
  • Web Access (CVE-2024-21095)
  • Core (CVE-2024-21007)
  • Simphony Enterprise Server (CVE-2024-21010)

Impacto Potencial:

  • Toma de control del producto afectado (CVE-2024-21071, CVE-2024-21082, CVE-2024-21010)
  • Acceso no autorizado a datos críticos o a todos los datos accesibles (CVE-2024-21092, CVE-2024-21095, CVE-2024-21007)
  • Creación, eliminación o modificación no autorizada de datos (CVE-2024-21092)

Explotación:

  • Todas las vulnerabilidades son fácilmente explotables.
  • La mayoría de las vulnerabilidades permiten la explotación remota a través de HTTP.
  • Algunas vulnerabilidades requieren privilegios de usuario elevados (CVE-2024-21071).

Impacto

Las vulnerabilidades corregidas en esta actualización crítica podrían tener un impacto significativo en las empresas que utilizan los productos afectados. Las posibles consecuencias incluyen:

  • Robo de datos confidenciales: Los atacantes podrían acceder a información sensible como datos financieros, registros médicos o propiedad intelectual.
  • Pérdida de integridad de los datos: Los datos podrían ser modificados o eliminados por actores malintencionados, lo que podría tener graves repercusiones para las operaciones comerciales.
  • Interrupción del servicio: Los ataques podrían provocar la inoperabilidad de los sistemas críticos, lo que podría generar pérdidas económicas significativas.
  • Daño a la reputación: Las empresas que sufren filtraciones de datos o interrupciones del servicio pueden ver su reputación dañada.

Solución

Se recomienda a todos los usuarios de productos Oracle afectados que apliquen los parches de seguridad correspondientes lo antes posible. La información para descargar e instalar las actualizaciones se encuentra en el sitio web de soporte de Oracle

Recomendaciones adicionales

Además de aplicar los parches de seguridad, las empresas también deberían considerar las siguientes medidas para reducir su riesgo de ciberataques:

  • Mantener actualizado el software: Asegúrese de que todos los sistemas operativos y aplicaciones estén actualizados con los últimos parches de seguridad.
  • Implementar controles de seguridad adecuados: Utilice firewalls, antivirus y otras soluciones de seguridad para proteger sus sistemas de amenazas externas.
  • Capacitar a los empleados en seguridad cibernética: Eduque a sus empleados sobre los riesgos de las ciberamenazas y las mejores prácticas para proteger la información confidencial.
  • Realizar pruebas de penetración periódicas: Contrate a un profesional de seguridad para evaluar la seguridad de sus sistemas y redes de forma regular.

¿Tiene dudas con la ciberseguridad de tu empresa? ¡Cibersafety podemos ayudarte!

En Cibersafety, entendemos la importancia de mantener la seguridad de tu empresa en un entorno digital cada vez más complejo y amenazante. Explora nuestro conjunto de servicios y descubre cómo podemos ayudarte a proteger tu empresa contra las amenazas cibernéticas. ¡Contáctanos hoy mismo para comenzar!

CONTACTA CON NOSOTROS

¿Tienes dudas? Te las resolvemos

    SOLUCIONES CIBERSEGURIDAD

    Consulta nuestros servicios

    formación ciberseguridad

    Formación y Concienciación en Ciberseguridad

    Equipo de respuesta a incidentes analizando un ciberataque

    Peritaje Informático

    Consultora experta en ciberseguridad

    Servicios Gestionados de Ciberseguridad

    Hackers profesionales haciendo un testeo sobre las lineas de seguridad de una empresa

    Respuesta a Incidentes

    Varios ordenadores portátiles y una máscara. Hacking ético.

    Hacking Ético

    Auditoría de Ciberseguridad

    Consultoría Ciberseguridad

    Multiple Factor Authentication

    Seguridad de Dispositivos

    Comunicaciones Seguras

    Monitorización y Análisis

    Vulnerability system

    Análisis de Vulnerabilidades

    Seguridad Aplicaciones

    Últimas entradas

    20 de noviembre de 2024
    En un mundo digital en constante evolución, las pruebas de penetración (pentesting) en redes son una herramienta esencial para detectar y mitigar vulnerabilidades antes de...
    19 de noviembre de 2024
    La seguridad de sitios web se encuentra en el epicentro de la ciberseguridad moderna, especialmente cuando más del 43% de los sitios web del mundo...
    18 de noviembre de 2024
    En sectores estratégicos como la defensa, la energía, la logística y el aeroespacial, garantizar la seguridad de las operaciones no es solo una cuestión de...

    SESIÓN DE CONSULTORÍA

    Solicita una sesión de consultoría GRATIS

      GUÍAS

      Consigue la guía definitiva de Ciberseguridad para proteger empresas GRATIS

        guías

        Consigue la guía definitiva de Ciberseguridad para empresas del sector turístico GRATIS

          SESIÓN DE CONSULTORÍA

          Consigue la guía definitiva para implementar la normativa NIS2 en empresas GRATIS

            SESIÓN DE CONSULTORÍA

            Consigue la guía definitiva para proteger tu negocio en empresas en 2025 GRATIS

              SESIÓN DE CONSULTORÍA

              Consigue la guía para identificar las vulnerabilidades de tu empresa GRATIS

                SESIÓN DE CONSULTORÍA

                Consigue la guía sobre inteligencia artificial en ciberseguridad GRATIS

                  SESIÓN DE CONSULTORÍA

                  Conoce los 3 pilares básicos de ciberseguridad en pymes GRATIS