CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

20/10/2011

Actualizaciones de seguridad para productos Oracle

Oracle ha lanzado su paquete de actualizaciones trimestral para todos sus productos

Riesgo: Crítico

El resumen de las vulnerabilidades solucionadas o parches publicados son, para cada familia de productos:

Estas vulnerabilidades pueden permitir, entre otras cosas, revelación de información confidencial, ejecución de código malicioso, e incluso causar denegación de servicio.

En lo que respecta a Java, la actualización de seguridad soluciona soluciona un total de 20 vulnerabilidades para Oracle Java SE, alcanzando 6 de ellas la puntuación máxima de peligrosidad (10.0 en el CVSS Base Score). Además, 19 de ellas permiten ser explotadas remotamente sin autenticación. Todas ellas podrían llegar a provocar, entre otras cosas, una denegación de servicio o la ejecución de código malicioso.

Algunas de las actualizaciones se aplican a las implementaciones de los clientes de Java. Estas vulnerabilidades pueden ser explotadas a través de aplicaciones Java Web Start y Applets no confiables.

Otro conjunto de actualizaciones se aplican a las implementaciones de cliente y del servidor de Java. Las cuales, además de ser explotables por medio de aplicaciones Java Web Start y Applets no confiables, también lo puede ser proporcionando datos a la API del componente específico (como por ejemplo a través de un servicio web).

Por otro lado, la actualización soluciona la vulnerabilidad en SSLv3/TLS 1.0 (se abre en nueva ventana), la cual, requiere de una situación de "man-in-the-middle" para ser aprovechada.

Sistemas Afectados:

Oracle Database 11g Release 1 y 2
Oracle Database 10g Release 1 y 2
Oracle Fusion Middleware 11g Release 1
Oracle Application Server 10g Release 2 y 3
Oracle Business Intelligence Enterprise Edition
Oracle Identity Management 10g
Oracle Outside In Technology
Oracle WebLogic Portal
Oracle WebLogic Server
Oracle E-Business Suite Release 11i y 12
Oracle Agile Product Supplier Collaboration for Process
Oracle PeopleSoft Enterprise HRMS
Oracle PeopleSoft Enterprise PeopleTools
Oracle Siebel CRM Core and Apps
Oracle Clinical, Remote Data Capture
Oracle Thesaurus Management System
Oracle Sun Product Suite
Oracle Linux 5
Oracle Sun Ray
Oracle Java SE 7
Oracle Java SE 6 Update 27 y anteriores
Oracle Java SE 5.0 Update 31 y anteriores
Oracle Java SE 1.4.2_33 y anteriores
JavaFX 2.0
JRockit R28.1.4 y anteriores (JDK y JRE 6 y 5.0)

Referencias:

None

Solución:

Descargar actualizaciones publicadas desde las respectivas páginas de descargas, o ejecutar los asistentes de actualización en el caso que estos estén disponibles, como es el caso de Java.
Enlaces a las descargas de Java SE, JRockit, JavaFX. Para el resto de aplicaciones se debe consultar la tabla existente aquí.

Notas:

http://cert.inteco.es/securityAdvice/Actualidad/Avisos_seguridad_tecnicos/actualizacion_seguridad_java_se_20111019
http://cert.inteco.es/securityAdvice/Actualidad/Avisos_seguridad_tecnicos/actualizacion_trimestral_productos_oracle_20111019
http://www.oracle.com/technetwork/topics/security/cpuoct2011-330135.html
http://www.oracle.com/technetwork/topics/security/javacpuoct2011-443431.html
http://secunia.com/advisories/46518/
http://secunia.com/advisories/46521/
http://secunia.com/advisories/46520/
http://secunia.com/advisories/46519/
http://secunia.com/advisories/46511/
http://secunia.com/advisories/46524/
http://secunia.com/advisories/46517/
http://secunia.com/advisories/46505/
http://secunia.com/advisories/46502/
http://secunia.com/advisories/46516/
http://secunia.com/advisories/46512/
http://secunia.com/advisories/46513/
http://secunia.com/advisories/46515/

Fuente: Inteco-CERT

CSIRT-CV