CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

27/07/2012

Agujeros en el conversor de ficheros de Oracle afectan a otras aplicaciones y servicios

Oracle Los agujeros de seguridad cerrados por Oracle la semana pasada afectan a una librería de tratamiento y conversión de ficheros que es utilizada por multitud de aplicaciones de terceros. Entre los afectados se encuentran Cisco, Microsoft, HP, IBM, Novell, Symantec y McAfee.

Algunos de los agujeros de seguridad que Oracle cerró la semana pasada afectan también a software de otras compañías, porque la librería Outside In de Oracle se utiliza en otros muchos productos para convertir ficheros entre diferentes formatos. Entre los afectados se encuentran Microsoft Exchange Server y Sharepoint, productos de Cisco, HP, IBM, Novell, Symantec y McAfee, entre otros.

Siendo estrictos, no se trata de un único fallo de seguridad, sino de un total de 14 fallos en el análisis de ciertos tipos de ficheros. Los formatos afectados son .VSD, .WSD, .JP2, .DOC, .SXD, .LWP, .PCX, .SXI, .DPT, .PDF, .SAM, .ODG y .CDR. Un programa que abra un fichero especialmente diseñado con alguna de estas extensiones mediante las librerías de Oracle está comprometido.

El rango de aplicaciones y servicios de servidor afectados es muy amplio, incluyendo antivirus como McAfee GroupShield, pero también aplicaciones específicas de escritorio que necesitan tratar ficheros de diferentes tipos, como la aplicación Guidance EnCase Forensic toolkit.

Uno de los boletines de seguridad de US-CERT lista un conjunto de compañías y productos que utilizan las librerías de Oracle y que son también vulnerables. Entre ellos destacan:

Todavía no se conoce exactamente el número de productos afectados, ni si todos los productos que utilizan esta librería son vulnerables. Tampoco se sabe si los desarrolladores de estas publicarán parches para sus productos, ni cuando.

Fuente: The H Online

CSIRT-CV