CSIRT-CV - Hemeroteca

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

20/10/2011

Actualitzacions de seguretat per a productes Oracle

Oracle ha llançat el seu paquet d'actualitzacions trimestral per a tots els seus productes

Risc: Crític

El resum de les vulnerabilitats solucionades o pegats publicats són, per a cada família de productes:

Oracle Database Server: 5 vulnerabilitats. La més greu d'elles, la CVE-2011-3525, afecta el component Application Express.
Oracle Fusion Middleware: 10 vulnerabilitats, la més crítica és la CVE-2011-2255, que afecta WebLogic.
Oracle Applications: 16 vulnerabilitats.
Oracle E-Business Suite: 5 vulnerabilitats.
Oracle Supply Chain Products Suite: es corregeix la vulnerabilitat CVE-2011-3532 que afecta el producte Oracle Agile Product Supplier Collaboration for Process
Oracle PeopleSoft Products: 7 vulnerabilitats.
Oracle Siebel CRM: 3 vulnerabilitats. La més greu d'elles (CVE-2011-3518) afecta Siebel Core - UIF Client
Oracle Industry Applications: 2 vulnerabilitats.
Oracle Sun Products Suite: 22 vulnerabilitats. Entre aquestes es troba la més crítica de totes les vulnerabilitats, la CVE-2011-3508, que afecta el component LDAP Library de Solaris
Oracle Linux and Virtualization: 2 vulnerabilitats.

Aquestes vulnerabilitats poden permetre, entre altres coses, revelació d'informació confidencial, execució de codi maliciós, i fins i tot, causar denegació de servei.

Pel que fa a Java, l'actualització de seguretat soluciona soluciona un total de 20 vulnerabilitats per a Oracle Java SE, i aconsegueixen 6 d'elles la puntuació màxima de perillositat (10.0 en el CVSS Base Score). A més, 19 d'aquestes permeten ser explotades remotament sense autenticació. Totes podrien arribar a provocar, entre altres coses, una denegació de servei o l'execució de codi maliciós.

Algunes de les actualitzacions s'apliquen a les implementacions dels clients de Java. Aquestes vulnerabilitats poden ser explotades a través d'aplicacions Java Web START i Applets no confiables.

Un altre conjunt d'actualitzacions s'apliquen a les implementacions de client i del servidor de Java. Les quals, a més de ser explotables per mitjà d'aplicacions Java Web START i Applets no confiables, també ho poden ser proporcionant dades a l'API del component específic (com per exemple a través d'un servei web).

D'altra banda, l'actualització soluciona la vulnerabilitat en SSLv3/TLS 1.0 (s'obri en nova finestra), la qual, requereix d'una situació de "man-in-the-middle" per a ser aprofitada.

Sistemes Afectats:

Oracle Database 11g Release 1 y 2
Oracle Database 10g Release 1 y 2
Oracle Fusion Middleware 11g Release 1
Oracle Application Server 10g Release 2 y 3
Oracle Business Intelligence Enterprise Edition
Oracle Identity Management 10g
Oracle Outside In Technology
Oracle WebLogic Portal
Oracle WebLogic Server
Oracle E-Business Suite Release 11i y 12
Oracle Agile Product Supplier Collaboration for Process
Oracle PeopleSoft Enterprise HRMS
Oracle PeopleSoft Enterprise PeopleTools
Oracle Siebel CRM Core and Apps
Oracle Clinical, Remote Data Capture
Oracle Thesaurus Management System
Oracle Sun Product Suite
Oracle Linux 5
Oracle Sun Ray
Oracle Java SE 7
Oracle Java SE 6 Update 27 y anteriors
Oracle Java SE 5.0 Update 31 y anteriors
Oracle Java SE 1.4.2_33 y anteriors
JavaFX 2.0
JRockit R28.1.4 y anteriors (JDK y JRE 6 y 5.0)

Referències:

None

Solució:

Descarregueu actualitzacions publicades des de les respectives pàgines de descàrregues, o executar els assistents d'actualització en el cas que aquests estiguen disponibles, com és el cas de Java.
Enllaços a les descàrregues de Java SE, JRockit, JavaFX. Per a la resta d'aplicacions s'ha de consultar la taula que hi ha ací.

Notes:

Font: Inteco-CERT

CSIRT-CV