Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
19/07/2012
Se ha informado de varias vulnerabilidades en Oracle Database que podrían ser aprovechadas por usuarios maliciosos para provocar una Denegación de Servicio, y por atacantes maliciosos para comprometer un sistema vulnerable.
1) Hay un error en el componente Enterprise Manager Grid Control.
Para más información:
SA49937
2) Varios errores sin especificar en el componente Network Layer podría ser aprovechado para colgar la aplicación o hacer que falle.
NOTA: Esta vulnerabilidad sólo afecta a Oracle Database funcionando sobre Windows.
3) Un error sin especificar en el componente Core RDBMS podría ser aprovechado para clogar la aplicación o hacer que falle.
Para explotar esta vulnerabilidad es necesario tener permisos de "crear sesión" (create session).
Las vulnerabilidades afectan a las versiones 10.2.0.3, 10.2.0.4, 10.2.0.5, 11.1.0.7, 11.2.0.2 y 11.2.0.3.
Sistemas Afectados:Oracle Database 10.x
Oracle Database 11.x
CVE-2012-1737, CVE-2012-1745, CVE-2012-1746, CVE-2012-1747, CVE-2012-3134
Solución:Aplicar actualizaciones.
Notas:Oracle:
http://www.oracle.com/technetwork/topics/security/cpujul2012-392727.html#AppendixDB
http://www.oracle.com/technetwork/topics/security/cpujul2012verbose-392736.html#Oracle%20Database%20Server