Alert GCSA-24058 - Oracle Critical Patch Update Advisory - April 2024


******************************************************************

Alert ID: GCSA-24058
Data: 17 Aprile 2024
Titolo: Oracle Critical Patch Update Advisory - April 2024

******************************************************************

:: Descrizione del problema

Oracle ha rilasciato la Critical Patch Update Aprile 2024.
L'aggiornamento include 441 patch di sicurezza che risolvono
vulnerabilita' multiple, presenti in vari prodotti.

Un aggressore remoto potrebbe sfruttare alcune di queste
vulnerabilita' per prendere il controllo di un sistema interessato.
Oracle raccomanda di applicare gli aggiornamenti appena possibile.

Nota: la vulnerabilita' CVE-2023-41993 e' gia' stata attivamente sfruttata,
e consente ad un utente malintenzionato non autenticato di accedere alla
rete tramite protocolli multipli per compromettere Oracle Java SE e Oracle GraalVM Enterprise Edition.
Per essere portati a termine con successo, gli attacchi richiedono
l'interazione umana da parte di una persona diversa dall'aggressore.

Maggiori informazioni sono disponibili alla sezione "Riferimenti".


:: Software interessato

Oracle MySQL
Java SE
Oracle Database Server
WebLogic Server

Per una descrizione completa dei prodotti interessati
si rimanda alla segnalazione ufficiale nella sezione "Riferimenti".


:: Impatto

Esecuzione remota di codice arbitrario (RCE)
Denial of Service (DoS)
Bypass delle restrizioni di sicurezza (SRB)
Rivelazione di informazioni (ID)
Data Manipulation (Tampering)
Acquisizione di privilegi piu' elevati (EoP)
Cross Site Scripting (XSS)

L'impatto delle vulnerabilita' varia a seconda del prodotto,
della componente e della configurazione del sistema.


:: Soluzioni

Applicare le patch appropriate o procedere all'opportuno
aggiornamento secondo le istruzioni rilasciate da Oracle.

Java SE Downloads
https://www.oracle.com/java/technologies/downloads/

Java Downloads for All Operating Systems
https://www.java.com/en/download/manual.jsp


:: Riferimenti

Oracle Critical Patch Updates, Security Alerts and Bulletins
https://www.oracle.com/security-alerts/
https://www.oracle.com/security-alerts/cpuapr2024.html
https://www.oracle.com/security-alerts/cpuapr2024verbose.html

I riferimenti CVE sono disponibili nell'advisory originale.


GARR CERT Security Alert - subscribe/unsubscribe:
http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----

iD8DBQFmH5jHwZxMk2USYEIRCFDwAJ0d+jS7I+/xVziSE8/D6dm2m+1Q/gCeI1a7
1BCZDF+iIK9iDUAbhHMPAUs=
=EUDU
-----END PGP SIGNATURE-----