Aggiornamento patch critiche di Oracle (AL01/240717/CSIRT-ITA) – Aggiornamento

Sintesi

Oracle ha rilasciato il Critical Patch Update di luglio che descrive 386 vulnerabilità su più prodotti, di cui 14 con gravità “critica”. Tra queste, alcune potrebbero essere sfruttate per eseguire operazioni non autorizzate oppure compromettere la disponibilità del servizio sui sistemi target.

Nota (aggiornamento del 30/07/2024): dei Proof of Concept (PoC) per lo sfruttamento delle CVE-2022-21797 e CVE-2022-0239 risultano disponibili in rete.

Rischio

Stima d’impatto della limitazione sulla comunità di riferimento: MEDIO/GIALLO (62,3/100) ¹ .

Tipologia

• Negazione del servizio
• Bypass delle restrizioni di sicurezza
• Rivelazione di un ‘informazione
• Manipolazione di dati

Prodotti e versioni affette

Oracolo

• Analisi
• Applicazione Express
• Big Data Spaziali e Grafici
• Commercio
• Comunicazioni
• Applicazioni di comunicazione
• Costruzione e Ingegneria
• Server di database
• Suite E-Business
• Responsabile aziendale
• Base di Ess
• Applicazioni per servizi finanziari
• Middleware di fusione
• Cancello dorato
• Server grafico e client
• Applicazioni sanitarie
• Iperione
• Applicazioni assicurative
• Il dottor J.D. Edwards
• Java SE
• Il mio SQL
• Banca dati NoSQL
• PersoneSoft
• Servizi dati REST
• Applicazioni al dettaglio
• CRM Siebel
• Catena di fornitura
• Sistemi
• Database in memoria TimesTen
• Applicazioni di utilità
• Virtualizzazione

Azioni di mitigazione

In linea con le dichiarazioni del venditore, si consiglia di aggiornare i prodotti all’ultima versione disponibile.

Per approfondimenti sui prodotti interessati e sulle modalità di intervento si consiglia di fare riferimento al bollettino di sicurezza disponibile nella sezione Riferimenti.

Indicatori univoci di debolezza

Di seguito sono riportate le sole CVE relative alle debolezza con gravità “critica”:

CVE-2021-23921

CVE-2022-0239

CVE-2022-21797

CVE-2022-34381

CVE-2022-36944

CVE-2022-37434

CVE-2022-45378

CVE-2022-48174

CVE-2023-34034

CVE-2023-37920

CVE-2023-45853

CVE-2023-47248

CVE-2024-21181

CVE-2024-23897

Riferimenti

https://www.oracle.com/security-alerts/cpujul2024.html

¹ La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.