Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
26/09/2011
Actualitzacions crítiques d'Oracle per a Fusió Middleware i Application Server
A finals d'agost es descobria una greu vulnerabilitat de denegació de servei en el servidor httpd d'Apache i vam veure com immediatament totes les firmes que l'utilitzaven actualitzaven els seus sistemes. Oracle ho ha pres en compte després de 20 dies d'espera i finalment ha publicat un pedaç crític per a actualitzar les edicions d'Oracle Fusion Middleware i Application Server que se serveixen internament d'aquest servidor.Aquesta és la cinquena vegada des de 2005 que es publica un pedaç fora dels períodes oficials d'actualització d'Oracle (cada tres mesos). La gravetat de la mateixa ho explica tot.
La plataforma Oracle Fusin Middleware i el seu component Oracle Applicaction Server ofereixen un conjunt d'aplicacions i solucions de desenrotllament, implementació i gestió integrat per a empreses basats en l'arquitectura SOA.
Recordem que la vulnerabilitat CVE-2011-3192, de què ja parlem en una anterior UAD "Denegació de servei en Apache a través de Range header" es caracteritzava per una denegació de servei a través de l'enviament de peticions Range especialment manipulades que originen un consum excessiu de memòria en el mòdul 'mod_deflate'.
- Oracle Fusion Middleware 11g Release 1, versions 11.1.1.3.0, 11.1.1.4.0, 11.1.1.5.0
- Oracle Application Server 10g Release 3, versions 10.1.3.5.0 (només si Oracle HTTP Server 10g basada en Apache 2.0 ha sigut instal·lat des del CD Application Server Companion).
- Oracle Application Server 10g Release 2, versió 10.1.2.3.0 (només si Oracle HTTP Server 10g basada en Apache 2.0 ha sigut instal·lat des del CD Application Server Companion).
Referències:
CVE-2011-3192
Solució:Apliqueu els pegats per als sistemes afectats.
Notes:http://www.oracle.com/es/index.html