Inicio / Content / Boletín de INCIBE-CERT del 21-10-2020

Boletín de INCIBE-CERT del 21-10-2020

Múltiples vulnerabilidades en productos VMware

Fecha de publicación: 
21/10/2020
Importancia: 
5 - Crítica
Recursos afectados: 
  • ESXi, versiones 6.7 y 6.5;
  • Workstation Pro / Player (Workstation), versión 15.x;
  • Fusion Pro / Fusion (Fusion), versión 11.x (ejecutándose en OS X);
  • NSX-T, versiones 3.x y 2.5.x;
  • Cloud Foundation, versiones 4.x (para las vulnerabilidades CVE-2020-3992, CVE-2020-3993, CVE-2020-3981 yCVE-2020-3982) y 3.x;
  • vCenter Server, versiones 6.7 (ejecutándose en Virtual Appliance) y 6.5 (ejecutándose en Virtual Appliance).
Descripción: 

Diversos investigadores han reportado a VMware 6 vulnerabilidades, 1 de severidad crítica, 4 altas y 1 media, de tipos uso de la memoria previamente liberada, MitM (man in the middle), lectura fuera de límites, secuestro de sesión (hijacking), pérdida de memoria y escritura fuera de límites.

Solución: 

Se recomienda instalar los últimos parches para los productos afectados, en función de la versión estable utilizada, indicados en la columna Fixed Version de cada tabla Response Matrix correspondiente.

Detalle: 

La vulnerabilidad con severidad crítica permitiría que un atacante, con acceso a la red de administración y al puerto 427 en una máquina ESXi, pudiese realizar una ejecución remota de código al aprovechar la vulnerabilidad de memoria previamente liberada en el servicio OpenSLP. Se ha asignado el identificador CVE-2020-3992 para esta vulnerabilidad.

Otros identificadores asignados para el resto de vulnerabilidades son CVE-2020-3981, CVE-2020-3982, CVE-2020-3993, CVE-2020-3994 y CVE-2020-3995.

Encuesta valoración

Actualizaciones críticas en Oracle (octubre 2020)

Fecha de publicación: 
21/10/2020
Importancia: 
5 - Crítica
Recursos afectados: 
  • Application Performance Management (APM), versiones 13.3.0.0, 13.4.0.0;
  • Big Data Spatial and Graph, versiones anteriores a 3.0;
  • Enterprise Manager Base Platform, versiones 13.2.1.0, 13.3.0.0, 13.4.0.0;
  • Enterprise Manager for Peoplesoft, versión 13.4.1.1;
  • Enterprise Manager for Storage Management, versiones 13.3.0.0, 13.4.0.0;
  • Enterprise Manager Ops Center, versión 12.4.0.0;
  • Fujitsu M10-1, M10-4, M10-4S, M12-1, M12-2, M12-2S Servers, versiones anteriores a XCP2362, y anteriores a XCP3090;
  • Fujitsu M12-1, M12-2, M12-2S Servers, versiones anteriores a XCP3090;
  • Hyperion Analytic Provider Services, versión 11.1.2.4;
  • Hyperion BI+, versión 11.1.2.4;
  • Hyperion Essbase, versión 11.1.2.4;
  • Hyperion Infrastructure Technology, versión 11.1.2.4;
  • Hyperion Lifecycle Management, versión 11.1.2.4;
  • Hyperion Planning, versión 11.1.2.4;
  • Identity Manager Connector, versión 9.0;
  • Instantis EnterpriseTrack, versiones 17.1, 17.2, 17.3;
  • Management Pack for Oracle GoldenGate, versión 12.2.1.2.0;
  • MySQL Cluster, versiones 7.3.30 y anteriores, 7.4.29 y anteriores, 7.5.19 y anteriores, 7.6.15 y anteriores, 8.0.21 y anteriores;
  • MySQL Enterprise Monitor, versiones 8.0.21 y anteriores;
  • MySQL Server, versiones 5.6.49 y anteriores, 5.7.31 y anteriores, 8.0.21 y anteriores;
  • MySQL Workbench, versiones 8.0.21 y anteriores;
  • Oracle Access Manager, versión 11.1.2.3.0;
  • Oracle Agile PLM, versiones 9.3.3, 9.3.5, 9.3.6;
  • Oracle Agile Product Lifecycle Management for Process, versión 6.2.0.0;
  • Oracle Application Express, versiones anteriores a 20.2;
  • Oracle Application Testing Suite, versión 13.3.0.1;
  • Oracle Banking Corporate Lending, versiones 12.3.0, 14.0.0-14.4.0;
  • Oracle Banking Digital Experience, versiones 18.1, 18.2, 18.3, 19.1, 19.2, 20.1;
  • Oracle Banking Payments, versiones 14.1.0-14.4.0;
  • Oracle Banking Platform, versiones 2.4.0-2.10.0;
  • Oracle BI Publisher, versiones 5.5.0.0.0, 11.1.1.9.0, 12.2.1.3.0, 12.2.1.4.0;
  • Oracle Business Intelligence Enterprise Edition, versiones 5.5.0.0.0, 11.1.1.9.0, 12.2.1.3.0, 12.2.1.4.0;
  • Oracle Business Process Management Suite, versiones 12.2.1.3.0, 12.2.1.4.0;
  • Oracle Communications Application Session Controller, versiones 3.8m0, 3.9m0p1;
  • Oracle Communications Billing and Revenue Management, versiones 7.5.0.23.0, 12.0.0.2.0, 12.0.0.3.0;
  • Oracle Communications BRM - Elastic Charging Engine, versiones 11.3.0.9.0, 12.0.0.3.0;
  • Oracle Communications Diameter Signaling Router (DSR), versiones 8.0.0.0-8.4.0.5, [IDIH] 8.0.0-8.2.2;
  • Oracle Communications EAGLE Software, versiones 46.6.0-46.8.2;
  • Oracle Communications Element Manager, versiones 8.2.0-8.2.2;
  • Oracle Communications Evolved Communications Application Server, versión 7.1;
  • Oracle Communications Messaging Server, versión 8.1;
  • Oracle Communications Offline Mediation Controller, versión 12.0.0.3.0;
  • Oracle Communications Services Gatekeeper, versión 7;
  • Oracle Communications Session Border Controller, versiones 8.2-8.4;
  • Oracle Communications Session Report Manager, versiones 8.2.0-8.2.2;
  • Oracle Communications Session Route Manager, versiones 8.2.0-8.2.2;
  • Oracle Communications Unified Inventory Management, versiones 7.3.0, 7.4.0;
  • Oracle Communications WebRTC Session Controller, versión 7.2;
  • Oracle Data Integrator, versiones 11.1.1.9.0, 12.2.1.3.0;
  • Oracle Database Server, versiones 11.2.0.4, 12.1.0.2, 12.2.0.1, 18c, 19c;
  • Oracle E-Business Suite, versiones 12.1.1-12.1.3, 12.2.3-12.2.10;
  • Oracle Endeca Information Discovery Integrator, versión 3.2.0;
  • Oracle Endeca Information Discovery Studio, versión 3.2.0;
  • Oracle Enterprise Repository, versión 11.1.1.7.0;
  • Oracle Enterprise Session Border Controller, versión 8.4;
  • Oracle Financial Services Analytical Applications Infrastructure, versiones 8.0.6-8.1.0;
  • Oracle Financial Services Analytical Applications Reconciliation Framework, versiones 8.0.6-8.0.8, 8.1.0;
  • Oracle Financial Services Asset Liability Management, versiones 8.0.6, 8.0.7, 8.1.0;
  • Oracle Financial Services Balance Sheet Planning, versión 8.0.8;
  • Oracle Financial Services Basel Regulatory Capital Basic, versiones 8.0.6-8.0.8, 8.1.0;
  • Oracle Financial Services Basel Regulatory Capital Internal Ratings Based Approach, versiones 8.0.6-8.0.8, 8.1.0;
  • Oracle Financial Services Data Foundation, versiones 8.0.6-8.1.0;
  • Oracle Financial Services Data Governance for US Regulatory Reporting, versiones 8.0.6-8.0.9;
  • Oracle Financial Services Data Integration Hub, versiones 8.0.6, 8.0.7, 8.1.0;
  • Oracle Financial Services Funds Transfer Pricing, versiones 8.0.6, 8.0.7, 8.1.0;
  • Oracle Financial Services Hedge Management and IFRS Valuations, versiones 8.0.6-8.0.8, 8.1.0;
  • Oracle Financial Services Institutional Performance Analytics, versiones 8.0.6, 8.0.7, 8.1.0, 8.7.0;
  • Oracle Financial Services Liquidity Risk Management, versión 8.0.6;
  • Oracle Financial Services Liquidity Risk Measurement and Management, versiones 8.0.7, 8.0.8, 8.1.0;
  • Oracle Financial Services Loan Loss Forecasting and Provisioning, versiones 8.0.6-8.0.8, 8.1.0;
  • Oracle Financial Services Market Risk Measurement and Management, versiones 8.0.6, 8.0.8, 8.1.0;
  • Oracle Financial Services Price Creation and Discovery, versiones 8.0.6, 8.0.7;
  • Oracle Financial Services Profitability Management, versiones 8.0.6, 8.0.7, 8.1.0;
  • Oracle Financial Services Regulatory Reporting for European Banking Authority, versiones 8.0.6-8.1.0;
  • Oracle Financial Services Regulatory Reporting for US Federal Reserve, versiones 8.0.6-8.0.9;
  • Oracle Financial Services Regulatory Reporting with AgileREPORTER, versión 8.0.9.2.0;
  • Oracle Financial Services Retail Customer Analytics, versión 8.0.6;
  • Oracle FLEXCUBE Core Banking, versiones 5.2.0, 11.5.0-11.7.0;
  • Oracle FLEXCUBE Direct Banking, versiones 12.0.1, 12.0.2, 12.0.3;
  • Oracle FLEXCUBE Private Banking, versiones 12.0.0, 12.1.0;
  • Oracle FLEXCUBE Universal Banking, versiones 12.3.0, 14.0.0-14.4.0;
  • Oracle GoldenGate Application Adapters, versiones 12.3.2.1.0, 19.1.0.0.0;
  • Oracle GraalVM Enterprise Edition, versiones 19.3.3, 20.2.0;
  • Oracle Health Sciences Empirica Signal, versión 9.0;
  • Oracle Healthcare Data Repository, versión 7.0.1;
  • Oracle Healthcare Foundation, versiones 7.1.1, 7.2.0, 7.2.1, 7.3.0;
  • Oracle Hospitality Guest Access, versiones 4.2.0, 4.2.1;
  • Oracle Hospitality Materials Control, versión 18.1;
  • Oracle Hospitality OPERA 5 Property Services, versiones 5.5, 5.6;
  • Oracle Hospitality Reporting and Analytics, versión 9.1.0;
  • Oracle Hospitality RES 3700, versión 5.7;
  • Oracle Hospitality Simphony, versiones 18.1, 18.2, 19.1.0-19.1.2;
  • Oracle Hospitality Suite8, versiones 8.10.2, 8.11-8.15;
  • Oracle HTTP Server, versiones 12.2.1.3.0, 12.2.1.4.0;
  • Oracle Insurance Accounting Analyzer, versión 8.0.9;
  • Oracle Insurance Allocation Manager for Enterprise Profitability, versiones 8.0.8, 8.1.0;
  • Oracle Insurance Data Foundation, versiones 8.0.6-8.1.0;
  • Oracle Insurance Insbridge Rating and Underwriting, versiones 5.0.0.0-5.6.0.0, 5.6.1.0;
  • Oracle Insurance Policy Administration J2EE, versiones 10.2.0.37, 10.2.4.12, 11.0.2.25, 11.1.0.15, 11.2.0.26, 11.2.2.0;
  • Oracle Insurance Rules Palette, versiones 10.2.0.37, 10.2.4.12, 11.0.2.25, 11.1.0.15, 11.2.0.26;
  • Oracle Java SE, versiones 7u271, 8u261, 11.0.8, 15;
  • Oracle Java SE Embedded, versión 8u261;
  • Oracle JDeveloper, versiones 11.1.1.9.0, 12.2.1.3.0, 12.2.1.4.0;
  • Oracle Managed File Transfer, versiones 12.2.1.3.0, 12.2.1.4.0;
  • Oracle Outside In Technology, versiones 8.5.4, 8.5.5;
  • Oracle Policy Automation, versiones 12.2.0-12.2.20;
  • Oracle Policy Automation Connector for Siebel, versión 10.4.6;
  • Oracle Policy Automation for Mobile Devices, versiones 12.2.0-12.2.20;
  • Oracle REST Data Services, versiones 11.2.0.4, 12.1.0.2, 12.2.0.1, 18c, 19c, [Standalone ORDS] y anteriores a 20.2.1;
  • Oracle Retail Advanced Inventory Planning, versión 14.1;
  • Oracle Retail Assortment Planning, versiones 15.0.3.0, 16.0.3.0;
  • Oracle Retail Back Office, versiones 14.0, 14.1;
  • Oracle Retail Bulk Data Integration, versiones 15.0.3.0, 16.0.3.0;
  • Oracle Retail Central Office, versiones 14.0, 14.1;
  • Oracle Retail Customer Management and Segmentation Foundation, versiones 18.0, 19.0;
  • Oracle Retail Integration Bus, versiones 14.1, 15.0, 16.0;
  • Oracle Retail Order Broker, versiones 15.0, 16.0, 18.0, 19.0, 19.1, 19.2, 19.3;
  • Oracle Retail Point-of-Service, versiones 14.0, 14.1;
  • Oracle Retail Predictive Application Server, versiones 14.1.3.0, 15.0.3.0, 16.0.3.0;
  • Oracle Retail Price Management, versiones 14.0.4, 14.1.3.0, 15.0.3.0, 16.0.3.0;
  • Oracle Retail Returns Management, versiones 14.0, 14.1;
  • Oracle Retail Service Backbone, versiones 14.1, 15.0, 16.0;
  • Oracle Retail Xstore Point of Service, versiones 15.0.3, 16.0.5, 17.0.3, 18.0.2, 19.0.1;
  • Oracle Solaris, versiones 10, 11;
  • Oracle TimesTen In-Memory Database, versiones anteriores a 11.2.2.8.49, 18.1.3.1.0, y anteriores a 18.1.4.1.0;
  • Oracle Transportation Management, versión 6.3.7;
  • Oracle Utilities Framework, versiones 2.2.0.0.0, 4.2.0.2.0, 4.2.0.3.0, 4.3.0.1.0-4.3.0.6.0, 4.4.0.0.0, 4.4.0.2.0;
  • Oracle VM VirtualBox, versiones anteriores a 6.1.16;
  • Oracle WebCenter Portal, versiones 11.1.1.9.0, 12.2.1.3.0, 12.2.1.4.0;
  • Oracle WebLogic Server, versiones 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0;
  • Oracle ZFS Storage Appliance Kit, versión 8.8;
  • PeopleSoft Enterprise HCM Global Payroll Core, versión 9.2;
  • PeopleSoft Enterprise PeopleTools, versiones 8.56, 8.57, 8.58;
  • PeopleSoft Enterprise SCM eSupplier Connection, versión 9.2;
  • Primavera Gateway, versiones 16.2.0-16.2.11, 17.12.0-17.12.8;
  • Primavera Unifier, versiones 16.1, 16.2, 17.7-17.12, 18.8, 19.12;
  • Siebel Applications, versiones 20.7, 20.8.
Descripción: 

Oracle ha publicado una actualización crítica con parches para corregir vulnerabilidades que afectan a múltiples productos.

Solución: 

Aplicar los parches correspondientes según los productos afectados. La información para descargar las actualizaciones puede obtenerse del boletín de seguridad publicado por Oracle.

Detalle: 

Esta actualización resuelve un total de 402 vulnerabilidades, algunas de las cuales son críticas. El detalle de las vulnerabilidades resueltas se puede consultar en el enlace de Oracle de la sección de Referencias.

Encuesta valoración