CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

28/04/2011

Grupo de parches de abril para múltiples productos Oracle

Oracle ha publicado un conjunto de parches para diversos productos de la casa que solventan un total de 73 nuevas vulnerabilidades. Las consecuencias son que atacantes locales y remotos pueden comprometer gravemente la seguridad de los sistemas y servicios afectados.

Riesgo: Alto

A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas:

* Seis nuevas vulnerabilidades corregidas en Oracle Database. Dos de los problemas corregidos son explotables remotamente sin autenticación.

* Otras nueve vulnerabilidades afectan a Oracle Fusion Middleware. Seis de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Oracle JRockit, Oracle WebLogic Server, Oracle Security Service, Oracle HTTP Server, Oracle Help, Portal, Single Sign On y Oracle Outside In Technology.

* Un parche afecta a Oracle Enterprise Manager Grid Control. En esta ocasión un atacante remoto sin autenticar no podría llegar a explotar la vulnerabilidad. El componente afectado es Application Service Level Management.

* 30 nuevas vulnerabilidades afectan a Oracle Applications divididas en: cuatro en Oracle E-Business Suite, una en Oracle Supply Chain Products Suite, 14 en Oracle PeopleSoft Products, ocho en Oracle JD Edwards Products y tres en Oracle Siebel CRM.

* 26 parches afectan a la suite de productos Oracle Sun. 18 de estas nuevas vulnerabilidades afectaban a estos productos y otras ocho a Oracle Open Office Suite.

* También se ha corregido una vulnerabilidad, no explotable remotamente sin autenticar, en Oracle Industry Applications.

Sistemas Afectados:

* Oracle Database 11g Release 2, versiones 11.2.0.1 y 11.2.0.2
* Oracle Database 11g Release 1, versión 11.1.0.7
* Oracle Database 10g Release 2, versiones 10.2.0.3, 10.2.0.4 y 10.2.0.5
* Oracle Database 10g Release 1, versión 10.1.0.5
* Oracle Fusion Middleware 11g Release 1, versiones 11.1.1.2.0, 11.1.1.3.0 y 11.1.1.4.0
* Oracle Application Server 10g Release 3, versión 10.1.3.5.0
* Oracle Application Server 10g Release 2, versión 10.1.2.3.0
* Oracle Identity Management 10g, versiones 10.1.4.0.1 y 10.1.4.3
* Oracle JRockit, versiones R27.6.8 y anteriores (JDK/JRE 1.4.2, 5, 6), R28.1.1 y anteriores (JDK/JRE 5, 6)
* Oracle Outside In Technology, versiones 8.3.2.0 y 8.3.5.0
* Oracle WebLogic Server, versiones 8.1.6, 9.2.3, 9.2.4, 10.0.2 y 11gR1 (10.3.2, 10.3.3, 10.3.4)
* Oracle E-Business Suite Release 12, versiones 12.0.6, 12.1.1, 12.1.2 y 12.1.3
* Oracle E-Business Suite Release 11i, versión 11.5.10.2
* Oracle Agile Technology Platform, versiones 9.3.0.2 y 9.3.1
* Oracle PeopleSoft Enterprise CRM, versión 8.9
* Oracle PeopleSoft Enterprise ELS, versiones 9.0 y 9.1
* Oracle PeopleSoft Enterprise HRMS, versiones 9.0 y 9.1
* Oracle PeopleSoft Enterprise Portal, versiones 8.8, 8.9, 9.0 y 9.1
* Oracle PeopleSoft Enterprise People Tools, versiones 8.49, 8.50 y 8.51
* Oracle JD Edwards OneWorld Tools, versión 24.1.x
* Oracle JD Edwards EnterpriseOne Tools, versión 8.98.x
* Oracle Siebel CRM Core, versiones 7.8.2, 8.0.0 y 8.1.1
* Oracle InForm, versiones 4.5, 4.6 y 5.0
* Oracle Sun Product Suite
* Oracle Open Office, versión 3 y StarOffice/StarSuite, versiones 7 y 8

Hay que recordar que también se incluyen los parches para el sistema operativo Solaris. Tras la compra de Sun por parte de Oracle, las actualizaciones de Sun pasan a integrarse dentro del calendario de publicaciones trimestrales.

Referencias:

None

Solución:

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial en:
Oracle Critical Patch Update Advisory - April 2011
http://www.oracle.com/technetwork/topics/security/cpuapr2011-301950.html

Notas:

http://www.hispasec.com/unaaldia/4568/

Fuente: Hispasec una-al-día

CSIRT-CV