Critical Patch Update di Oracle (AL03/240117/CSIRT-ITA)

Sintesi

Oracle ha rilasciato il Critical Patch Update di gennaio che descrive 389 vulnerabilità su più prodotti, di cui 18 con gravità “critica”. Tra queste, alcune potrebbero essere sfruttate per eseguire operazioni non autorizzate oppure compromettere la disponibilità del servizio sui sistemi target.

Note (aggiornamento del 25/02/2025): la vulnerabilità CVE-2024-20953 risulta essere sfruttata attivamente in rete.

Note (aggiornamento del 06/02/2024): un Proof of Concept (PoC) per lo sfruttamento della vulnerabilità CVE-2024-20931 risulta disponibile in rete.

Rischio

Stima d’impatto della vulnerabilità sulla comunità di riferimento: Medio (62.3)

Tipologia

• Data Manipulation
• Denial of Service
• Elevation of Privilege
• Information Disclosure
• Remote Code Execution
• Security Restriction Bypass

Prodotti e versioni affette

Oracle

• Analytics
• Audit Vault and Database Firewall
• Big Data Spatial and Graph
• Commerce
• Communications
• Communications Applications
• Construction and Engineering
• Database Server
• E-Business Suite
• Enterprise Manager
• Essbase
• Financial Services Applications
• Fusion Middleware
• Global Lifecycle Management
• GoldenGate
• Graph Server and Client
• Hyperion
• Java SE
• JD Edwards
• MySQL
• NoSQL Database
• PeopleSoft
• REST Data Services
• Retail Applications
• Secure Backup
• Siebel CRM
• SQL Developer
• Supply Chain
• Systems
• TimesTen In-Memory Database
• Utilities Applications

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si consiglia di aggiornare i prodotti all’ultima versione disponibile.

Per approfondimenti sui prodotti interessati e sulle modalità di intervento si consiglia di fare riferimento al bollettino di sicurezza disponibile nella sezione Riferimenti.

Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “critica”:

Riferimenti

https://www.oracle.com/security-alerts/cpujan2024.html

https://www.oracle.com/security-alerts/cpujan2024verbose.html

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.