CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

16/01/2014

Actualización crítica de Oracle (enero 2014)

Oracle ha lanzado una actualización que soluciona 144 vulnerabilidades en una gran cantidad de productos.

Riesgo: Crítico

5 vulnerabilidades afectan a Oracle Database Server, con CVSS 2.0 de entre 5.0 y 3.5, una de ellas explotable remotamente y sin autenticación.

22 vulnerabilidades afectan a Oracle Fusion Middleware, con CVSS 2.0 de entre 10.0 y 1.5, 19 de ellas explotables remotamente y sin autenticación.

2 vulnerabilidades afectan a Oracle Hyperion, con CVSS 2.0 de 7.1 y 5.5, ninguna explotable remotamente y sin autentiación.

4 vulnerabilidades afectan a Oracle E-Business Suite, con CVSS 2.0 de entre 5.5 y 1.7, una de ellas explotable remotamente y sin autenticación.

16 vulnerabilidades afectan a Oracle Supply Chain Products Suite, con CVSS 2.0 entre 5.5 y 3.5, 6 de ellas explotables remotamente y sin autenticación.

17 vulnerabilidades afectan a Oracle PeopleSoft Products, con CVSS 2.0 entre 5.0 y 2.6, 10.0 de ellas explotables remotamente y sin autenticación.

2 vulnerabilidades afectan a Oracle Siebel CRM, con CVSS 2.0 de 5.0 y 2.8, una de ellas explotable remotamente y sin autenticación.

Una vulnerabilidad afecta a Oracle iLearning, con CVSS 2.0 de 4.3, explotable remotamente y sin autenticación.

Una vulnerabilidad afecta a Oracle Financial Services Software, con CVSS 2.0 de 10.0, explotable remotamente y sin autenticación.

36 vulnerabilidades afectan a Oracle Java SE, con CVSS 2.0 de entre 10.0 y 4.0, 34 de ellas explotables remotamente y sin autenticación.

11 vulnerabilidades afectan a Oracle and Sun Systems Products Suite, con CVSS 2.0 entre 7.2 y 1.7, una de ellas explotable remotamente y sin autenticación.

9 vulnerabilidades afectan a Oracle Linux and Virtualization, con CVSS 2.0 entre 6.8 y 2.4, 4 de ellas explotables remotamente y sin autenticación.

18 vulnerabilidades afectan a Oracle MySQL, con CVSS 2.0 entre 10.0 y 2.6, 3 de ellas explotables remotamente y sin autenticación.

Sistemas Afectados:

Oracle Database Server
Oracle Fusion Middleware
Oracle Hyperion
Oracle E-Business Suite
Oracle Supply Chain Products Suite
Oracle PeopleSoft Products
Oracle Siebel CRM
Oracle iLearning
Oracle Financial Services Software
Oracle Java SE
Oracle and Sun Systems Products Suite
Oracle Linux and Virtualization
Oracle MySQL

Referencias:

None

Solución:

Actualizar los productos de Oracle que tenga instalados. Se recomienda actualizar el sistema en la mayor brevedad posible.

En la página Web de Oracle se pueden encontrar enlaces a las actualizaciones para cada familia de productos.

Notas:

INTECO-CERT
Oracle Critical Patch Update Advisory - January 2014

Fuente: Inteco-CERT

CSIRT-CV