CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

19/07/2012

Diversas vulnerabilidades en Oracle Database

Se ha informado de varias vulnerabilidades en Oracle Database que podrían ser aprovechadas por usuarios maliciosos para provocar una Denegación de Servicio, y por atacantes maliciosos para comprometer un sistema vulnerable.

Riesgo: Medio

Se ha informado de varias vulnerabilidades en Oracle Database que podrían ser aprovechadas por usuarios maliciosos para provocar una Denegación de Servicio, y por atacantes maliciosos para comprometer un sistema vulnerable.

1) Hay un error en el componente Enterprise Manager Grid Control.

Para más información:
SA49937

2) Varios errores sin especificar en el componente Network Layer podría ser aprovechado para colgar la aplicación o hacer que falle.

NOTA: Esta vulnerabilidad sólo afecta a Oracle Database funcionando sobre Windows.

3) Un error sin especificar en el componente Core RDBMS podría ser aprovechado para clogar la aplicación o hacer que falle.

Para explotar esta vulnerabilidad es necesario tener permisos de "crear sesión" (create session).

Las vulnerabilidades afectan a las versiones 10.2.0.3, 10.2.0.4, 10.2.0.5, 11.1.0.7, 11.2.0.2 y 11.2.0.3.

Sistemas Afectados:

Oracle Database 10.x

Oracle Database 11.x 


Referencias:

CVE-2012-1737, CVE-2012-1745, CVE-2012-1746, CVE-2012-1747, CVE-2012-3134

Solución:

Aplicar actualizaciones.

Notas:

Oracle:
http://www.oracle.com/technetwork/topics/security/cpujul2012-392727.html#AppendixDB
http://www.oracle.com/technetwork/topics/security/cpujul2012verbose-392736.html#Oracle%20Database%20Server

Fuente: Secunia Advisories

CSIRT-CV