Sintesi

Oracle ha rilasciato il Critical Patch Update di gennaio che descrive 327 vulnerabilità su più prodotti, di cui 146 con gravità “alta” e 71 con gravità “critica”. Tra queste, alcune potrebbero essere sfruttate per eseguire operazioni non autorizzate oppure compromettere la disponibilità del servizio sui sistemi target.

Note (aggiornamento del 02/05/2023): la vulnerabilità CVE-2023-21839 risulta essere sfruttata attivamente in rete.

Note (aggiornamento del 23/02/2023): un Proof of Concept (PoC) per lo sfruttamento della CVE-2023-21839, con gravità “alta”, risulta disponibile in rete.

Tipologia

• Data Manipulation
• Denial of Service
• Information Disclosure
• Remote Code Execution
• Security Restrictions Bypass

Prodotti e versioni affette

Oracle

• Big Data Graph
• Commerce
• Communications
• Communications Applications
• Construction and Engineering
• Database Server
• E-Business Suite
• Enterprise Manager
• Essbase
• Financial Services Applications
• Food and Beverage Applications
• Fusion Middleware
• Global Lifecycle Management
• GoldenGate
• Graph Server and Client
• Health Sciences Applications
• HealthCare Applications
• Hospitality Applications
• Hyperion
• Insurance Applications
• Java SE
• JD Edwards
• MySQL
• PeopleSoft
• Retail Applications
• Siebel CRM
• Spatial Studio
• Supply Chain
• Support Tools
• Systems
• TimesTen In-Memory Database
• Utilities Applications
• Virtualization

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si consiglia di aggiornare i prodotti all’ultima versione disponibile.

Per approfondimenti sui prodotti interessati e sulle modalità di intervento si consiglia di fare riferimento al bollettino di sicurezza disponibile nella sezione Riferimenti.