Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
17/10/2012
Boletines de seguridad periódicos de Oracle
Oracle publicó ayer, dentro de su programación, dos boletines de seguridad críticos. El primero, que se publica de forma trimestral, se refiere a vulnerabilidades en productos Oracle. El segundo, con periodicidad cuatrimestral, está enfocado a Java SE.En esta actualización periódica, se han publicado boletines tanto para Java SE como para el resto de productos de Oracle.
En el primer boletín se publican 30 fallos de seguridad que han sido corregidos en las últimas versiones de Java 1.4, 5, 6 y 7, así como JavaFX. De ellos, 29 podrían ser utilizados de forma remota sin autenticación para causar fallos en la aplicación o comprometer el sistema.
En el segundo boletín se publican un total de 109 fallos de seguridad en el resto de ramas de software de Oracle, destacando Fusion Middleware con 26 vulnerabilidades, la suite Solaris con 18 vulnerabilidades, o MySQL, con 14 fallos corregidos. De todos los problemas corregidos en este boletín, un total de 44 podrían utilizarse para comprometer el sistema de forma remota, sin necesidad de autenticarse en el sistema.
Los próximos boletines de seguridad de Oracle están programados, según se puede ver en la página dedicada a ellos, para el 15 de enero en el caso de las actualizaciones de productos Oracle, y el 19 de febrero en el caso de Java SE.
Sistemas Afectados:En lo que respecta a las actualizaciones de JavaSE, las versiones vulnerables son:
- JDK y JRE 7 Update 7 y anteriores
- JDK y JRE 6 Update 35 y anteriores
- JDK y JRE 5.0 Update 36 y anteriores
- SDK y JRE 1.4.2_38 y anteriores
- JavaFX 2.2 y anteriores
Para el resto de productos, las versiones afectadas son:
- Oracle Database 11g Release 2, versiones 11.2.0.2, 11.2.0.3
- Oracle Database 11g Release 1, versión 11.1.0.7
- Oracle Database 10g Release 2, versiones 10.2.0.3, 10.2.0.4, 10.2.0.5
- Oracle Fusion Middleware 11g Release 1, versión 11.1.1.6
- Oracle Forms and Reports 11g, Release 2, versión 11.1.2.0
- Oracle Forms and Reports 11g Release 1, versión 11.1.1.4
- Oracle BI Publisher, versiones 10.1.3.4.2, 11.1.1.5.0, 11.1.1.6.0, 11.1.1.6.2
- Oracle Event Processing, versiones 2.0, 11.1.1.4.0, 11.1.1.6.0
- Oracle Identity Management 10g, versión 10.1.4.3
- Oracle Imaging and Process Management, versión 10.1.3.6.0
- Oracle JRockit versiones, R28.2.4 y anteriores, R27.7.3 y anteriores
- Oracle Outside In Technology, versión 8.3.7
- Oracle WebLogic Server, versiones 9.2.4.0, 10.0.2.0, 10.3.5.0, 10.3.6.0, 12.1.1.0
- Oracle WebCenter Sites, versiones 6.1, 6.2, 6.3.x, 7, 7.0.1, 7.0.2, 7.0.3, 7.5, 7.6.1, 7.6.2, 11.1.1.6.0
- Oracle E-Business Suite Release 12, versiones 12.0.6, 12.1.1, 12.1.2, 12.1.3
- Oracle E-Business Suite Release 11i, versión 11.5.10.2
- Oracle Agile PLM For Process, versiones 5.2.2, 6.0.0.6.3, 6.1.0.0, 6.1.0.1.14
- Oracle Agile PLM Framework, versiones 9.3.1.0, 9.3.1.1
- Oracle Agile Product Supplier Collaboration for Process, versiones 5.2.2, 6.1.0.0
- Oracle PeopleSoft Enterprise Campus Solutions, versión 9.0
- Oracle PeopleSoft Enterprise PeopleTools, versiones 8.50, 8.51, 8.52
- Oracle Siebel UI Framework, versión 8.1.1
- Oracle Central Designer, versiones 1.3, 1.4, 1.4.2
- Oracle Clinical/Remote Data Capture, versiones 4.6.0, 4.6.2
- Oracle FLEXCUBE Direct Banking, versiones 5.0.2, 5.0.5, 5.1.0, 5.2.0, 5.3.0-5.3.4, 6.0.1, 6.2.0, 12
- Oracle FLEXCUBE Universal Banking, versiones 10.0.0-10.5.0, 11.0.0-11.4.0, 12
- Oracle Sun Product Suite
- Oracle Secure Global Desktop, versión 4.6
- Oracle VM Virtual Box, versiones 3.2, 4.0, 4.1
- Oracle MySQL Server, versiones 5.1.63 y anteriores, 5.5.25 y anteriores
None
Solución:Seguir las directrices de las Patch Availability Table de cada uno de los dos boletines:
Notas:Oracle Critical Patch Updates, Security Alerts and Third Party Bulletin.
Oracle Critical Patch Update Advisory - October 2012.
Oracle Java SE Critical Patch Update Advisory - October 2012.