Inicio / Content / Boletín de INCIBE-CERT del 20-01-2021

Boletín de INCIBE-CERT del 20-01-2021

Actualizaciones críticas en Oracle (enero 2021)

Fecha de publicación: 
20/01/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • Business Intelligence Enterprise Edition, versiones 5.5.0.0.0, 11.1.1.9.0, 12.2.1.3.0 y 12.2.1.4.0;
  • Enterprise Manager Base Platform, versiones 13.2.1.0, 13.3.0.0 y 13.4.0.0;
  • Enterprise Manager for Fusion Applications, versión 13.3.0.0;
  • Enterprise Manager Ops Center, versión 12.4.0.0;
  • Hyperion Financial Reporting, versión 11.1.2.4;
  • Hyperion Infrastructure Technology, versión 11.1.2.4;
  • Instantis EnterpriseTrack, versiones de la 17.1 a la 17.3;
  • JD Edwards EnterpriseOne Orchestrator, todas las versiones anteriores a la 9.2.5.1;
  • JD Edwards EnterpriseOne Tools, todas las versiones anteriores a la 9.2.5.0;
  • MySQL Client, versiones 5.6.50 y anteriores, 5.7.32 y anteriores, 8.0.22 y anteriores;
  • MySQL Enterprise Monitor, versiones 8.0.22 y anteriores;
  • MySQL Server, versiones 5.6.50 y anteriores, 5.7.32 y anteriores, 8.0.22 y anteriores;
  • MySQL Workbench, versiones 8.0.22 y anteriores;
  • Oracle Adaptive Access Manager, versión 11.1.2.3.0;
  • Oracle Agile Engineering Data Management, versión 6.2.1.0;
  • Oracle Agile PLM, versiones 9.3.5 y 9.3.6;
  • Oracle Agile Product Lifecycle Management for Process, versión 6.1;
  • Oracle Application Express Opportunity Tracker, todas las versiones anteriores a la 20.2;
  • Oracle Application Express Survey Builder, todas las versiones anteriores a la 20.2;
  • Oracle Application Testing Suite, versión 13.3.0.1;
  • Oracle Argus Safety, versión 8.2.2;
  • Oracle BAM (Business Activity Monitoring), versiones 11.1.1.9.0 y 12.2.1.3.0;
  • Oracle Banking Corporate Lending Process Management, versiones 14.1.0, 14.3.0 y 14.4.0;
  • Oracle Banking Credit Facilities Process Management, versiones 14.1.0, 14.3.0 y 14.4.0;
  • Oracle Banking Extensibility Workbench, versiones 14.3.0 y 14.4.0;
  • Oracle Banking Liquidity Management, versiones de la 14.0.0 a la 14.4.0;
  • Oracle Banking Payments, versión 14.4.0;
  • Oracle Banking Platform, versiones 2.4.0, 2.4.1, 2.6.2, 2.7.0, 2.7.1, 2.8.0 y 2.9.0;
  • Oracle Banking Supply Chain Finance, versiones de la 14.2.0 a la 14.4.0;
  • Oracle Banking Trade Finance Process Management, versiones 14.1.0, 14.3.0 y 14.4.0;
  • Oracle Banking Virtual Account Management, versiones 14.1.0, 14.3.0 y 14.4.0;
  • Oracle BI Publisher, versiones 5.5.0.0.0, 11.1.1.9.0, 12.2.1.3.0 y 12.2.1.4.0;
  • Oracle Business Intelligence Enterprise Edition, versiones 5.5.0.0.0, 11.1.1.9.0, 12.2.1.3.0 y 12.2.1.4.0;
  • Oracle Business Process Management Suite, versiones 12.2.1.3.0 y 12.2.1.4.0;
  • Oracle Coherence, versiones 3.7.1.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.0;
  • Oracle Communications Application Session Controller, versión 3.9m0p2;
  • Oracle Communications ASAP, versión 7.3;
  • Oracle Communications BRM - Elastic Charging Engine, versiones 11.3.0.9 y 12.0.0.3;
  • Oracle Communications Calendar Server, versión 8.0.0.4.0;
  • Oracle Communications Contacts Server, versión 8.0.0.5.0;
  • Oracle Communications Diameter Signaling Router (DSR), versiones de la 8.0.0 a la 8.2.2;
  • Oracle Communications Element Manager, versiones de la 8.2.1.0 a la 8.2.2.1;
  • Oracle Communications MetaSolv Solution, versiones de la 6.3.0 a la 6.3.1;
  • Oracle Communications Network Charging and Control, versiones 6.0.1 y 12.0.2;
  • Oracle Communications Operations Monitor, versiones 3.4, 4.1, 4.2 y 4.3;
  • Oracle Communications Performance Intelligence Center (PIC) Software, versión 10.4.0.2;
  • Oracle Communications Session Report Manager, versiones de la 8.2.1.0 a la 8.2.2.1;
  • Oracle Complex Maintenance, Repair, and Overhaul, versiones 11.5.10, 12.1 y 12.2;
  • Oracle Configurator, versiones 12.1 y 12.2;
  • Oracle Data Integrator, versiones 11.1.1.9.0, 12.2.1.3.0 y 12.2.1.4.0;
  • Oracle Database Server, versiones 12.1.0.2, 12.2.0.1, 18c y 19c;
  • Oracle E-Business Suite, versiones de la 12.1.1 a la 12.1.3 y de la 12.2.3 a la 12.2.10;
  • Oracle Endeca Information Discovery Integrator, versión 3.2.0.0;
  • Oracle Enterprise Communications Broker, versiones 3.1 y 3.2;
  • Oracle Enterprise Data Quality, versiones 11.1.1.9.0 y 12.2.1.3.0;
  • Oracle Enterprise Repository, versión 11.1.1.7.0;
  • Oracle Financial Services Analytical Applications Infrastructure, versiones de la 8.0.6 a la 8.1.0;
  • Oracle Financial Services Asset Liability Management, versiones 8.0.7 y 8.1.0;
  • Oracle Financial Services Data Integration Hub, versiones 8.0.3 y 8.0.6;
  • Oracle Financial Services Funds Transfer Pricing, versiones 8.0.6, 8.0.7 y 8.1.0;
  • Oracle Financial Services Market Risk Measurement and Management, versión 8.0.6;
  • Oracle Financial Services Profitability Management, versiones 8.0.6, 8.0.7 y 8.1.0;
  • Oracle Financial Services Revenue Management and Billing, versiones 2.9.0.0 y 2.9.0.1;
  • Oracle FLEXCUBE Core Banking, versiones de la 11.5.0 a la 11.9.0    ;
  • Oracle FLEXCUBE Universal Banking, versión 14.4.0;
  • Oracle Fusion Middleware MapViewer, versión 12.2.1.3.0;
  • Oracle Global Lifecycle Management OPatch;
  • Oracle Global Lifecycle Manager;
  • Oracle GoldenGate Application Adapters, versión 19.1.0.0.0;
  • Oracle GraalVM Enterprise Edition, versiones 19.3.4 y 20.3.0;
  • Oracle Health Sciences Information Manager, versión 3.0.1;
  • Oracle Healthcare Master Person Index, versión 4.0.2.5;
  • Oracle Hospitality Reporting and Analytics, versión 9.1.0    ;
  • Oracle Hospitality Simphony, versiones 18.2.7.2 y 19.1.3;
  • Oracle Insurance Allocation Manager for Enterprise Profitability, versión 8.1.0;
  • Oracle Insurance Insbridge Rating and Underwriting, versiones 5.0.0.20 y 5.1.1.3;
  • Oracle Insurance Policy Administration, versiones 10.2.0, 10.2.4, 11.0.2 y de la 11.1.0 a la 11.3.0;
  • Oracle Insurance Rules Palette, versiones 10.2.0, 10.2.4, 11.0.2 y de la 11.1.0 a la 11.3.0;
  • Oracle Java SE, versiones 7u281 y 8u271;
  • Oracle Java SE Embedded, versión 8u271;
  • Oracle Managed File Transfer, versiones 12.2.1.3.0 y 12.2.1.4.0;
  • Oracle Outside In Technology, versiones 8.5.4 y 8.5.5;
  • Oracle Real-Time Decision Server, versión 3.2.1.0;
  • Oracle Retail Assortment Planning, versión 16.0.3;
  • Oracle Retail Bulk Data Integration, versiones 15.0.3 y 16.0.3;
  • Oracle Retail Customer Management and Segmentation Foundation, versiones 16.0, 17.0, 18.0 y 19.0;
  • Oracle Retail Extract Transform and Load, versiones 13.2.5 y 13.2.8;
  • Oracle Retail Financial Integration, versiones 14.1.3, 15.0.3 y 16.0.3;
  • Oracle Retail Integration Bus, versiones 14.1.3, 15.0.3 y 16.0.3;
  • Oracle Retail Invoice Matching, versiones 13.2, 14.0 y 14.1;
  • Oracle Retail Merchandising System, versión 15.0;
  • Oracle Retail Order Broker, versiones 15.0 y 16.0;
  • Oracle Retail Order Broker Cloud Service, versión 15.0;
  • Oracle Retail Sales Audit, versión 14.1;
  • Oracle Retail Service Backbone, versiones 14.1.3, 15.0.3 y 16.0.3;
  • Oracle Retail Store Inventory Management, versiones 14.0.4.0, 14.1.3.0, 14.1.3.9, 15.0.3.0 y 16.0.3.0;
  • Oracle SD-WAN Edge, versión 9.0;
  • Oracle Secure Backup;
  • Oracle Transportation Management, versión 1.4.3;
  • Oracle Utilities Framework, versiones 4.2.0.2.0, 4.2.0.3.0, de la 4.3.0.1.0 a la 4.3.0.6.0, 4.4.0.0.0 y 4.4.0.2.0;
  • Oracle VM VirtualBox, todas las versiones anteriores a la 6.1.18;
  • Oracle WebCenter Portal, versiones 11.1.1.9.0, 12.2.1.3.0 y 12.2.1.4.0;
  • Oracle WebCenter Sites, versiones 12.2.1.3.0 y 12.2.1.4.0;
  • Oracle WebLogic Server, versiones 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.0;
  • Oracle ZFS Storage Appliance Kit, versión 8.8;
  • PeopleSoft Enterprise FIN Payables, versión 9.2;
  • PeopleSoft Enterprise HCM Human Resources, versión 9.2;
  • PeopleSoft Enterprise PeopleTools, versiones 8.56, 8.57 y 8.58;
  • Primavera Gateway, versiones de la 16.2.0 a la 16.2.11, de la 17.12.0 a la 17.12.9, de la 18.8.0 a la 18.8.10 y de la 19.12.0 a la 19.12.10;
  • Primavera P6 Enterprise Project Portfolio Management, versiones de la 16.1.0 a la 16.2.20, de la 17.1.0 a la 17.12.19, de la 18.1.0 a la 18.8.21 y de la 19.12.0 a la 19.12.10;
  • Primavera Unifier, versiones 16.1, 16.2, de la 17.7 a la 17.12, 18.8, 19.12 y 20.12;
  • Siebel Applications, versiones 20.12 y anteriores;
  • StorageTek Tape Analytics SW Tool, versión 2.3.1;
Descripción: 

Oracle ha publicado una actualización crítica con parches para corregir vulnerabilidades que afectan a múltiples productos.

Solución: 

Aplicar los parches correspondientes según los productos afectados. La información para descargar las actualizaciones puede obtenerse del boletín de seguridad publicado por Oracle.

Detalle: 

Esta actualización resuelve un total de 329 vulnerabilidades, algunas de las cuales son críticas. El detalle de las vulnerabilidades resueltas se puede consultar en el enlace de Oracle de la sección de Referencias.

Encuesta valoración

Vulnerabilidad en Dnsmasq

Fecha de publicación: 
20/01/2021
Importancia: 
4 - Alta
Recursos afectados: 

Dnsmasq DNS y servidor DHCP, versión 2.8.2 y anteriores.

Descripción: 

Múltiples vulnerabilidades en la implementación de la DNSSEC dnsmasq podrían permitir a un atacante remoto, no autenticado, envenenar la caché, divulgar información, ejecutar código arbitrario o causar una condición de denegación de servicio (DoS) en un dispositivo afectado. Las vulnerabilidades se agrupan y se denominan DNSpooq.

Solución: 
  • Actualizar a dnsmasq 2.83.
  • Los usuarios de sistemas IoT o embebidos, deberán consultar con su fabricante.
  • Se recomienda hacer uso de las buenas prácticas de seguridad siguientes para proteger la infraestructura DNS:
    • Proteja a sus clientes de DNS utilizando stateful-inspection firewalls que proporcionen seguridad al DNS (por ejemplo, los stateful-inspection firewalls y los dispositivos NAT pueden bloquear las respuestas no solicitadas del DNS, la inspección de la capa de aplicación del DNS puede evitar el reenvío de paquetes de DNS anómalos).
    • Proporcionar un servicio seguro de recursividad del DNS con características como la validación DNSSEC y la codificación 0x20 bits como parte de los servicios de DNS, cuando corresponda.
    • Prevenir la exposición de dispositivos de IoT y otros dispositivos directamente a través de Internet, para minimizar el abuso del DNS.
    • Implementar una configuración Secure By Default adecuada a su entorno.
Detalle: 
  • Una vulnerabilidad de desbordamiento de búfer basado en memoria dinámica (Heap) debida a la ordenación de los RRSets antes de validarlos con los datos de DNSSEC, podría permitir a un atacante ejecutar código arbitrario mediante el envío de una respuesta DNS especialmente diseñada. Se ha asignado el identificador CVE-2020-25681 para esta vulnerabilidad.
  • Una vulnerabilidad de desbordamiento de búfer basado en memoria dinámica (Heap) debida a la extracción de nombres de paquetes DNS antes de validarlos con los datos de DNSSEC, podría permitir a un atacante ejecutar código arbitrario mediante el envío de una respuesta DNS especialmente diseñada. Se ha asignado el identificador CVE-2020-25682 para esta vulnerabilidad.
  • Las vulnerabilidades de desbordamiento de búfer basado en memoria dinámica (Heap) cuando DNSSEC está activado, antes de validar las entradas recibidas, podría permitir a un atacante denegar el servicio mediante el envío de respuestas DNS válidas. Se ha asignado el identificador CVE-2020-25683 y CVE-2020-25687 para estas vulnerabilidades.
  • La validación insuficiente de la autenticidad de los datos en la respuesta de una consulta reenviada cuando Dnsmasq comprueba en forward.c:reply_query() si la dirección / puerto de destino de la respuesta, es utilizada por las consultas reenviadas pendientes, podría permitir a un atacante realizar un ataque de envenenamiento de la caché del DNS. Se ha asignado el identificador CVE-2020-25684 para esta vulnerabilidad.
  • El uso de un algoritmo criptográfico roto o débil podría permitir a un atacante encontrar varios dominios diferentes con el mismo hash fuera de ruta, reduciendo considerablemente el número de intentos de falsificar una respuesta para su aceptación por parte de Dnsmasq, y realizar un ataque de envenenamiento de la caché del DNS. Se ha asignado el identificador CVE-2020-25685 para esta vulnerabilidad.
  • La validación insuficiente de la autenticidad de los datos, al recibir una consulta en la que Dnsmasq no comprueba si existe una solicitud pendiente con el mismo nombre antes de reenviar una nueva solicitud, podría permitir a un atacante, fuera de la ruta de la red, reducir considerablemente el número de intentos de falsificar una respuesta para su aceptación por parte de Dnsmasq, y realizar un ataque de envenenamiento de la caché del DNS. Se ha asignado el identificador CVE-2020-25686 para esta vulnerabilidad.

Encuesta valoración