CSIRT-CV - Hemeroteca

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

21/07/2016

Oracle publica un nuevo boletín de seguridad.

Oracle ha publicado un nuevo boletín de seguridad que corrige 276 nuevas vulnerabilidades en varios de sus productos.

Riesgo: Crítico

Con este nuevo boletín de seguridad, el más numeroso publicado por Oracle hasta la fecha, se corrigen 276 vulnerabilidades de diversos productos de la compañía, como son Oracle Database hasta Solaris, Java o MySQL.

Entre las vulnerabilidades más destacadas que se corrigen con la publicación de este nuevo boletín, figuran 9 correspondientes a Oracle Database Server, 40 que afectan a Oracle Fusion Middleware, 10 que afectan a Oracle Enterprise Manager Grid Control, además se contabilizan hasta 72 correcciones dentro Oracle Application , 16 para Oracle Retail Applications, 3 actualizaciones para Oracle Utilities Applications, 4 para Oracle Policy Automation y 15 para la suite de productos Oracle Primavera.

Cabe destacar que también se incluyen 13 nuevos parches de seguridad para Oracle Java SE, 4 nuevos parches de seguridad para el software Oracle Financial Services, para la suite de productos Oracle Sun Systems se incluyen 34 nuevas actualizaciones, ocho de ellas afectan directamente a Solaris y 22 nuevas vulnerabilidades afectan a MySQL Server. También se incluyen cuatro parches para Oracle Linux y Virtualización otro para y Oracle Hyperion.

Podéis encontrar más información en el siguiente enlace y en CCN-CERT

Sistemas Afectados:

Application Express, versiones anteriores a 5.0.4

Oracle Database Server, versiones 11.2.0.4, 12.1.0.1 y 12.1.0.2

Oracle Access Manager, versiones 10.1.4.x y 11.1.1.7

Oracle BI Publisher, versiones 11.1.1.7.0, 11.1.1.9.0 y 12.2.1.0.0

Oracle Business Intelligence Enterprise Edition, versiones 11.1.1.7.0, 11.1.1.9.0 y 11.2.1.0.0

Oracle Directory Server Enterprise Edition, versiones 7.0 y 11.1.1.7.0

Oracle Exalogic Infrastructure, versiones 1.x, 2.x

Oracle Fusion Middleware, versiones 11.1.1.7, 11.1.1.8, 11.1.1.9, 11.1.2.2, 11.1.2.3, 12.1.3.0 y 12.2.1.0

Oracle GlassFish Server, versiones 2.1.1, 3.0.1 y 3.1.2

Oracle HTTP Server, versiones 11.1.1.9 y 12.1.3.0

Oracle JDeveloper, versiones 11.1.1.7.0, 11.1.1.9.0, 11.1.2.4.0, 12.1.3.0.0 y 12.2.1.0.0

Oracle Portal, versión 11.1.1.6

Oracle TopLink, versiones 12.1.3.0, 12.2.1.0 y 12.2.1.1

Oracle WebCenter Sites, versiones 11.1.1.8 y 12.2.1.0

Oracle WebLogic Server, versiones 10.3.6.0, 12.1.3.0 y 12.2.1.0

Outside In Technology, versiones 8.5.0, 8.5.1 y 8.5.2

Hyperion Financial Reporting, versión 11.1.2.4

Enterprise Manager Base Platform, versiones 12.1.0.5 y 13.1.0.0

Enterprise Manager for Fusion Middleware, versiones 11.1.1.7 y 11.1.1.9

Enterprise Manager Ops Center, versiones 12.1.4, 12.2.2 y 12.3.2

Oracle E-Business Suite, versiones 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4 y 12.2.5

Oracle Agile Engineering Data Management, versiones 6.1.3.0 y 6.2.0.0

Oracle Agile PLM, versiones 9.3.4 y 9.3.5

Oracle Demand Planning, versiones 12.1 y 12.2

Oracle Transportation Management, versiones 6.3.0, 6.3.1, 6.3.2, 6.3.3, 6.3.4, 6.3.5, 6.3.6, 6.3.7, 6.4.0 y 6.4.1

PeopleSoft Enterprise FSCM, versiones 9.1 y 9.2

PeopleSoft Enterprise PeopleTools, versiones 8.53, 8.54 y 8.55

JD Edwards EnterpriseOne Tools, versión 9.2.0.5

Oracle Knowledge, versión 8.5.x

Siebel Applications, versiones 8.1.1, 8.2.2, IP2014, IP2015 y IP2016

Oracle Fusion Applications, versiones 11.1.2 hasta 11.1.10

Oracle Communications ASAP, versiones 7.0, 7.2 y 7.3

Oracle Communications Core Session Manager, versiones 7.2.5 y 7.3.5

Oracle Communications EAGLE Application Processor, versión 16.0

Oracle Communications Messaging Server, versiones 6.3, 7.0, 8.0, anteriores a 7.0.5.37.0 y 8.0.1.1.0

Oracle Communications Network Charging and Control, versiones 4.4.1.5.0, 5.0.0.1.0, 5.0.0.2.0, 5.0.1.0.0 y 5.0.2.0.0

Oracle Communications Operations Monitor, versiones anteriores a 3.3.92.0.0

Oracle Communications Policy Management, versiones anteriores a 9.9.2

Oracle Communications Session Border Controller, versiones 7.2.0 y 7.3.0

Oracle Communications Unified Session Manager, versiones 7.2.5 y 7.3.5

Oracle Enterprise Communications Broker, versiones anteriores a PCz 2.0.0m4p1

Oracle Banking Platform, versiones 2.3.0, 2.4.0, 2.4.1 y 2.5.0

Oracle Financial Services Lending and Leasing, versiones 14.1 y 14.2

Oracle FLEXCUBE Direct Banking, versiones 12.0.1, 12.0.2 y 12.0.3

Oracle Health Sciences Clinical Development Center, versiones 3.1.1.x y 3.1.2.x

Oracle Health Sciences Information Manager, versiones 1.2.8.3, 2.0.2.3 y 3.0.1.0

Oracle Healthcare Analytics Data Integration, versión 3.1.0.0.0

Oracle Healthcare Master Person Index, versiones 2.0.12, 3.0.0 y 4.0.1

Oracle Documaker, versiones anteriores a 12.5

Oracle Insurance Calculation Engine, versiones 9.7.1, 10.1.2 y 10.2.2

Oracle Insurance Policy Administration J2EE, versiones 9.6.1, 9.7.1, 10.0.1, 10.1.2, 10.2.0 y 10.2.2

Oracle Insurance Rules Palette, versiones 9.6.1, 9.7.1, 10.0.1, 10.1.2, 10.2.0 y 10.2.2

MICROS Retail XBRi Loss Prevention, versiones 10.0.1, 10.5.0, 10.6.0, 10.7.0, 10.8.0 y 10.8.1

Oracle Retail Central, Back Office, Returns Management, versiones 13.1, 13.2, 13.3, 13.4, 14.0, 14.1, 12.0 y 13.0

Oracle Retail Integration Bus, versiones 13.0, 13.1, 13.2, 14.0, 14.1 y 15.0

Oracle Retail Order Broker, versiones 4.1, 5.1, 5.2 y 15.0

Oracle Retail Service Backbone, versiones 13.0, 13.1, 13.2, 14.0, 14.1 y 15.0

Oracle Retail Store Inventory Management, versiones 12.0, 13.0, 13.1, 13.2, 14.0 y 14.1

Oracle Utilities Framework, versiones 2.2.0.0.0, 4.1.0.1.0, 4.1.0.2.0, 4.2.0.1.0, 4.2.0.2.0, 4.2.0.3.0, 4.3.0.1.0 y 4.3.0.2.0

Oracle Utilities Network Management System, versiones 1.10.0.6.27, 1.11.0.4.41, 1.11.0.5.4, 1.12.0.1.16, 1.12.0.2.12 y 1.12.0.3.5

Oracle Utilities Work and Asset Management, versión 1.9.1.2.8

Oracle In-Memory Policy Analytics, versión 12.0.1

Oracle Policy Automation, versiones 10.3.0, 10.3.1, 10.4.0, 10.4.1, 10.4.2, 10.4.3, 10.4.4, 10.4.5, 10.4.6, 12.1.0 y 12.1.1

Oracle Policy Automation Connector for Siebel, versiones 10.3.0, 10.4.0, 10.4.1, 10.4.2, 10.4.3, 10.4.4, 10.4.5 y 10.4.6

Oracle Policy Automation for Mobile Devices, versión 12.1.1

Primavera Contract Management, versión 14.2

Primavera P6 Enterprise Project Portfolio Management, versiones 8.2, 8.3, 8.4, 15.1, 15.2 y 16.1

Oracle Java SE, versiones 6u115, 7u101 y 8u92

Oracle Java SE Embedded, versión 8u91

Oracle JRockit, versión R28.3.10

40G 10G 72/64 Ethernet Switch, versión 2.0.0

Fujitsu M10-1, M10-4, M10-4S Servers, versiones anteriores a XCP 2320

ILOM, versiones 3.0, 3.1 y 3.2

Oracle Switch ES1-24, versión 1.3

Solaris, versiones 10 y 11.3

Solaris Cluster, versiones 3.3 y 4.3

SPARC Enterprise M3000, M4000, M5000, M8000, M9000 Servers y versiones anteriores a XCP 1121

Sun Blade 6000 Ethernet Switched NEM 24P 10GE, versión 1.2

Sun Data Center InfiniBand Switch 36, versiones anteriores a 2.2.2

Sun Network 10GE Switch 72p, versión 1.2

Sun Network QDR InfiniBand Gateway Switch, versiones anteriores a 2.2.2

Oracle Secure Global Desktop, versiones 4.63, 4.71 y 5.2

Oracle VM VirtualBox, versiones anteriores a 5.0.26

MySQL Server, versiones 5.5.49 y anteriores, 5.6.30 y anteriores, 5.7.12 y anteriores

Referencias:

CVE-2016-3609 ,CVE-2016-3506 ,CVE-2016-3479 ,CVE-2016-3489 ,CVE-2016-3448 ,CVE-2016-3467 ,CVE-2015-0204 ,CVE-2016-3488 ,CVE-2016-3484 ,CVE-2015-7182 ,CVE-2016-3607 ,CVE-2016-3510 ,CVE-2016-3586 ,CVE-2016-3499 ,CVE-2016-3504 ,CVE-2016-3574 ,CVE-2016-3575 ,CVE-2016-3576 ,CVE-2016-3577 ,CVE-2016-3578 ,CVE-2016-3579 ,CVE-2016-3580 ,CVE-2016-3581 ,CVE-2016-3582 ,CVE-2016-3583 ,CVE-2016-3590 ,CVE-2016-3591 ,CVE-2016-3592 ,CVE-2016-3593 ,CVE-2016-3594 ,CVE-2016-3595 ,CVE-2016-3596 ,CVE-2016-3446 ,CVE-2016-1181 ,CVE-2016-3564 ,CVE-2016-3487 ,CVE-2016-3544 ,CVE-2016-1548 ,CVE-2015-3237 ,CVE-2016-3502 ,CVE-2016-2107 ,CVE-2016-3608 ,CVE-2016-5477 ,CVE-2016-3432 ,CVE-2016-3433 ,CVE-2016-3445 ,CVE-2016-3474 ,CVE-2016-3482 ,CVE-2015-2721 ,CVE-2015-4000 ,CVE-2015-7181 ,CVE-2015-7183 ,CVE-2015-7575 ,CVE-2016-1182 ,CVE-2015-7979 ,CVE-2016-1547 ,CVE-2016-1550 ,CVE-2016-2108 ,CVE-2016-2518 ,CVE-2016-4051 ,CVE-2016-4052 ,CVE-2016-4053 ,CVE-2016-2105 ,CVE-2016-2106 ,CVE-2016-2109 ,CVE-2016-2176 ,CVE-2016-3493 ,CVE-2015-7501 ,CVE-2016-0635 ,CVE-2016-3494 ,CVE-2016-3563 ,CVE-2015-3197 ,CVE-2016-3496 ,CVE-2016-3540 ,CVE-2015-0228 ,CVE-2015-3236 ,CVE-2016-3546 ,CVE-2016-3541 ,CVE-2016-3543 ,CVE-2016-3532 ,CVE-2016-3535 ,CVE-2016-3491 ,CVE-2016-3512 ,CVE-2016-3536 ,CVE-2016-3522 ,CVE-2016-3528 ,CVE-2016-3524 ,CVE-2016-3542 ,CVE-2016-3525 ,CVE-2016-3545 ,CVE-2016-3549 ,CVE-2016-3548 ,CVE-2016-3547 ,CVE-2016-3520 ,CVE-2016-3558 ,CVE-2016-3559 ,CVE-2016-3534 ,CVE-2016-3533 ,CVE-2016-3523 ,CVE-2016-3468 ,CVE-2016-3556 ,CVE-2016-3527 ,CVE-2016-3554 ,CVE-2016-3526 ,CVE-2016-3561 ,CVE-2016-3538 ,CVE-2016-3539 ,CVE-2016-3530 ,CVE-2016-3470 ,CVE-2016-3537 ,CVE-2016-3557 ,CVE-2016-3519 ,CVE-2016-3555 ,CVE-2016-3529 ,CVE-2016-3509 ,CVE-2016-3553 ,CVE-2016-3560 ,CVE-2016-3517 ,CVE-2016-3507 ,CVE-2016-3531 ,CVE-2016-5473 ,CVE-2016-3490 ,CVE-2016-5465 ,CVE-2016-5472 ,CVE-2016-3483 ,CVE-2016-5470 ,CVE-2016-3478 ,CVE-2016-5467 ,CVE-2016-5451 ,CVE-2016-3476 ,CVE-2016-5461 ,CVE-2016-3472 ,CVE-2016-5468 ,CVE-2016-5456 ,CVE-2016-5459 ,CVE-2016-5450 ,CVE-2016-3475 ,CVE-2016-5463 ,CVE-2016-5464 ,CVE-2016-3450 ,CVE-2016-5460 ,CVE-2016-5466 ,CVE-2016-3469 ,CVE-2016-5462 ,CVE-2015-0235 ,CVE-2014-3571 ,CVE-2016-3515 ,CVE-2016-3513 ,CVE-2016-3514 ,CVE-2016-5458 ,CVE-2016-5455 ,CVE-2014-9708 ,CVE-2016-0702 ,CVE-2015-2808 ,CVE-2015-5300 ,CVE-2016-3516 ,CVE-2014-3569 ,CVE-2014-3570 ,CVE-2014-3572 ,CVE-2014-8275 ,CVE-2015-0205 ,CVE-2015-0206 ,CVE-2015-7704 ,CVE-2015-8138 ,CVE-2016-0705 ,CVE-2016-0797 ,CVE-2016-0798 ,CVE-2016-0799 ,CVE-2016-0800 ,CVE-2016-1938 ,CVE-2016-1978 ,CVE-2014-0224 ,CVE-2016-3589 ,CVE-2015-3253 ,CVE-2016-3444 ,CVE-2016-5474 ,CVE-2016-3081 ,CVE-2016-5476 ,CVE-2016-3565 ,CVE-2016-5475 ,CVE-2016-3611 ,CVE-2015-1791 ,CVE-2016-3572 ,CVE-2012-3137 ,CVE-2016-3566 ,CVE-2016-3568 ,CVE-2016-3569 ,CVE-2016-3570 ,CVE-2016-3571 ,CVE-2016-3573 ,CVE-2016-3567 ,CVE-2015-1788 ,CVE-2015-1789 ,CVE-2015-1790 ,CVE-2015-1792 ,CVE-2015-3193 ,CVE-2015-3194 ,CVE-2015-3195 ,CVE-2016-0701 ,CVE-2016-3587 ,CVE-2016-3606 ,CVE-2016-3598 ,CVE-2016-3610 ,CVE-2016-3552 ,CVE-2016-3511 ,CVE-2016-3503 ,CVE-2016-3498 ,CVE-2016-3500 ,CVE-2016-3508 ,CVE-2016-3458 ,CVE-2016-3550 ,CVE-2016-3485 ,CVE-2016-5453 ,CVE-2016-5457 ,CVE-2012-3410 ,CVE-2016-5445 ,CVE-2015-5600 ,CVE-2016-3481 ,CVE-2016-5447 ,CVE-2016-5449 ,CVE-2016-3585 ,CVE-2016-5446 ,CVE-2016-3584 ,CVE-2016-5448 ,CVE-2015-1793 ,CVE-2015-3183 ,CVE-2015-8104 ,CVE-2016-5454 ,CVE-2016-3453 ,CVE-2016-3497 ,CVE-2016-5469 ,CVE-2016-5471 ,CVE-2016-5452 ,CVE-2013-2566 ,CVE-2016-3451 ,CVE-2016-3480 ,CVE-2014-3566 ,CVE-2016-3613 ,CVE-2013-2064 ,CVE-2016-3612 ,CVE-2016-3597 ,CVE-2016-3477 ,CVE-2016-3440 ,CVE-2016-3471 ,CVE-2016-3486 ,CVE-2016-3501 ,CVE-2016-3518 ,CVE-2016-3521 ,CVE-2016-3588 ,CVE-2016-3615 ,CVE-2016-3614 ,CVE-2016-5436 ,CVE-2016-3459 ,CVE-2016-5437 ,CVE-2016-3424 ,CVE-2016-5439 ,CVE-2016-5440 ,CVE-2016-5441 ,CVE-2016-5442 ,CVE-2016-5443 ,CVE-2016-5444, CVE-2016-3452

Solución:

Actualizar a las versiones más recientes publicadas. En el boletín se pueden encontrar enlaces a dichos parches, así como guías para su correcta instalación.

Notas:

http://www.oracle.com/technetwork/security-advisory/cpujul2016-2881720.html

Fuente: Hispasec una-al-día

CSIRT-CV