CSIRT-CV - Hemeroteca

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

16/07/2014

Actualización de seguridad en Oracle

Oracle corrige 113 vulnerabilidades en su actualización de seguridad de julio.

Riesgo: Alto

Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica su boletín de seguridad de julio. Contiene parches para 113 vulnerabilidades diferentes en cientos de productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL.

A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas:

Cinco nuevas vulnerabilidades corregidas en Oracle Database Server, una de ellas explotable de forma remota sin autenticación. Afecta a los componentes XML Parser, Network Layer y RDBMS Core.
Otras 29 vulnerabilidades afectan a Oracle Fusion Middleware. 27 de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Oracle GlassFish Server, Oracle Traffic Director, Oracle iPlanet Web Proxy Server, Oracle iPlanet Web Server, Oracle WebCenter Portal, Oracle WebLogic Server, Oracle JDeveloper, BI Publisher, GlassFish Communications Server, Oracle Fusion Middleware y Oracle HTTP Server.
Siete actualizaciones afectan a Oracle Hyperion, dos de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Hyperion Essbase, Hyperion BI+, Hyperion Common Admin, Hyperion Analytic Provider Services y Hyperion Enterprise Performance Management Architect.
Esta actualización contiene una nueva actualización de seguridad para Oracle Enterprise Manager Grid Control por una vulnerabilidad no explotable remotamente sin autenticación.
Dentro de Oracle Applications, cinco parches son para Oracle E-Business Suite, tres parches son para Oracle Supply Chain Products Suite, cinco para productos Oracle PeopleSoft y seis para Oracle Siebel CRM.
Igualmente dentro de Oracle Industry Applications se incluye un nuevo parche para Oracle Communications Applications y tres nuevos parches para Oracle Retail Applications.
En lo referente a Oracle Java SE se incluyen 20 nuevos parches de seguridad. Todas las vulnerabilidades podrían ser explotadas por un atacante remoto sin autenticar.
Cuatro de las vulnerabilidades afectan a Solaris (versiones 8, 9, 10 y 11.1).
15 nuevas actualizaciones afectan a Oracle Virtualization.
10 nuevas vulnerabilidades afectan a MySQL Server, ninguna sería explotable de forma remota sin autenticación.

En resumen, las vulnerabilidades afectan a diversas versiones de Java SE (Java SE 6u75, Java SE 7u60, Java SE 8u5, entre otras) siendo la más destacada la asociada al CVE-2014-4227.

Sistemas Afectados:

Los fallos se dan en varios componentes de los productos:

Oracle Database 11g Release 1, versión 11.1.0.7
Oracle Database 11g Release 2, versiones 11.2.0.3 y 11.2.0.4
Oracle Database 12c Release 1, versión 12.1.0.1
Oracle Fusion Middleware 11g Release 1, versión 11.1.1.7
Oracle Fusion Middleware 12c Release 1, versión 12.1.2.0
Oracle Glassfish Server, versiones 2.1.1, 3.0.1 y 3.1.2
Oracle Traffic Director, versión 11.1.1.7.0
Oracle iPlanet Web Proxy Server, versión 4.0.24
Oracle iPlanet Web Server, versiones 6.1 y 7.0
Oracle WebCenter Portal, versiones 11.1.1.7.0 y 11.1.1.8.0
Oracle WebLogic Server, versiones 10.0.2.0, 10.3.6.0, 12.1.1.0 y 12.1.2.0
Oracle JDeveloper, versiones 11.1.1.7.0, 11.1.2.4.0 y 12.1.2.0.0
Oracle BI Publisher, versión 11.1.1.7
Oracle Glassfish Communications Server, versión 2.0
Oracle HTTP Server, versiones 11.1.1.7.0 y 12.1.2.0
Oracle Hyperion Essbase, versiones 11.1.2.2 y 11.1.2.3
Oracle Hyperion BI+, versiones 11.1.2.2 y 11.1.2.3
Oracle Hyperion Enterprise Performance Management Architect, versiones 11.1.2.2 y 11.1.2.3
Oracle Hyperion Common Admin, versiones 11.1.2.2, 11.1.2.3
Oracle Hyperion Analytic Provider Services, versiones 11.1.2.2 y 11.1.2.3
Oracle E-Business Suite Release 11i, versión 11.5.10.2
Oracle E-Business Suite Release 12i, versiones 12.0.6, 12.1.3, 12.2.2 y 12.2.3
Oracle Transportation Management, versiones 6.1, 6.2, 6.3, 6.3.1, 6.3.2, 6.3.3 y 6.3.4
Oracle Agile Product Collaboration, versión 9.3.3
Oracle PeopleSoft Enterprise ELS Enterprise Learning Management, versiones 9.1 y 9.2
Oracle PeopleSoft Enterprise PT PeopleTools, versiones 8.52 y 8.53
Oracle PeopleSoft Enterprise FIN Install, versiones 9.1 y 9.2
Oracle PeopleSoft Enterprise SCM Purchasing, versiones 9.1 y 9.2
Oracle Siebel Travel & Transportation, versiones 8.1.1 y 8.2.2
Oracle Siebel UI Framework, versiones 8.1.1 y 8.2.2
Oracle Siebel Core - Server OM Frwks, versiones 8.1.1 y 8.2.2
Oracle Siebel Core - EAI, versiones 8.1.1 y 8.2.2
Oracle Communications Messaging Server, versión 7.0.5.30.0
Oracle Retail Back Office, versiones 8.0, 12.0, 12.0.9IN, 13.0, 13.1, 13.2, 13.3, 13.4 y 14.0
Oracle Retail Central Office, versiones 8.0, 12.0, 12.0.9IN, 13.0, 13.1, 13.2, 13.3, 13.4 y 14.0
Oracle Retail Returns Management, versiones 2.0, 13.1, 13.2, 13.3, 13.4 y 14.0
Oracle Java SE, versiones 5.0u65, 6u75, 7u60 y 8u5
Oracle JRockit, versiones R27.8.2 y R28.3.2
Oracle Solaris, versiones 8, 9, 10 y 11.1
Oracle Secure Global Desktop, versiones prior to 4.63, 4.71, 5.0 y 5.1
Oracle VM VirtualBox, versiones prior to 3.2.24, 4.0.26, 4.1.34, 4.2.26 y 4.3.14
Oracle Virtual Desktop Infrastructure (VDI), versiones anteriores a 3.5.1
Sun Ray Software, versiones anteriores a 5.4.3
Oracle MySQL Server, versiones 5.5 y 5.6

Referencias:

None

Solución:

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial en:

Oracle Critical Patch Update Advisory - July 2014

http://www.oracle.com/technetwork/topics/security/cpujul2014-1972956.html

Notas:

Hispasec

Más información:
Oracle Critical Patch Update Advisory - July 2014

http://www.oracle.com/technetwork/topics/security/cpujul2014-1972956.html

Fuente: Hispasec una-al-día

CSIRT-CV