CSIRT-CV - Hemeroteca

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

16/07/2014

Actualització de seguretat en Oracle

Oracle corregix 113 vulnerabilitats en la seua actualització de seguretat de juliol.

Risc: Alt

Seguint el seu ritme de publicació trimestral d’actualitzacions, Oracle publica el seu butlletí de seguretat de juliol. Conté pedaços per a 113 vulnerabilitats diferents en centenars de productes pertanyents a diferents famílies, que van des del popular gestor de base de dades Oracle Database fins a Solaris, Java o MySQL.

A continuació oferim una relació de productes i el nombre de vulnerabilitats corregides:

Cinc noves vulnerabilitats corregides en Oracle Database Server, una d’estes explotable de forma remota sense autenticació. Afecta els components XML Parser, Network Layer i RDBMS Core.
Altres 29 vulnerabilitats afecten Oracle Fusion Middleware. 27 d’estes podrien ser explotades per un atacant remot sense autenticar. Els components afectats són: Oracle GlassFish Server, Oracle Traffic Director, Oracle iPlanet Web Proxy Server, Oracle iPlanet Web Server, Oracle WebCenter Portal, Oracle WebLogic Server, Oracle JDeveloper, BI Publisher, GlassFish Communications Server, Oracle Fusion Middleware i Oracle HTTP Server.
Set actualitzacions afecten Oracle Hyperion, dos d’estes podrien ser explotades per un atacant remot sense autenticar. Els components afectats són: Hyperion Essbase, Hyperion BI+, Hyperion Common Admin, Hyperion Analytic Provider Services i Hyperion Enterprise Performance Management Architect.
Esta actualització conté una nova actualització de seguretat per a Oracle Enterprise Manager Grid Control per una vulnerabilitat no explotable remotament sense autenticació.
Dins d’Oracle Applications, cinc pedaços són per a Oracle E-Business Suite, tres pedaços són per a Oracle Supply Chain Products Suite, cinc per a productes Oracle PeopleSoft i sis per a Oracle Siebel CRM.
Igualment dins d’Oracle Industry Applications s’inclou un nou pedaç per a Oracle Communications Applications i tres nous pedaços per a Oracle Retail Applications.
Pel que fa a Oracle Java SE s’inclouen 20 nous pedaços de seguretat. Totes les vulnerabilitats podrien ser explotades per un atacant remot sense autenticar.
Quatre de les vulnerabilitats afecten Solaris (versions 8, 9, 10 i 11.1).
15 noves actualitzacions afecten Oracle Virtualization.
10 noves vulnerabilitats afecten MySQL Server, cap seria explotable de forma remota sense autenticació.

En resum, les vulnerabilitats afecten diverses versions de Java SE (Java es 6u75, Java es 7u60, Java es 8u5, entre altres) i la més destacada és l’associada al CVE-2014-4227.

Sistemes Afectats:

Els errors es donen en diversos components dels productes:

Oracle Database 11g Release 1, versió 11.1.0.7
Oracle Database 11g Release 2, versions 11.2.0.3 i 11.2.0.4
Oracle Database 12c Release 1, versió 12.1.0.1
Oracle Fusion Middleware 11g Release 1, versió 11.1.1.7
Oracle Fusion Middleware 12c Release 1, versió 12.1.2.0
Oracle Glassfish Server, versions 2.1.1, 3.0.1 i 3.1.2
Oracle Traffic Director, versió 11.1.1.7.0
Oracle iPlanet Web Proxy Server, versió 4.0.24
Oracle iPlanet Web Server, versions 6.1 i 7.0
Oracle WebCenter Portal, versions 11.1.1.7.0 i 11.1.1.8.0
Oracle WebLogic Server, versions 10.0.2.0, 10.3.6.0, 12.1.1.0 i 12.1.2.0
Oracle JDeveloper, versions 11.1.1.7.0, 11.1.2.4.0 i 12.1.2.0.0
Oracle BI Publisher, versió 11.1.1.7
Oracle Glassfish Communications Server, versió 2.0
Oracle HTTP Server, versions 11.1.1.7.0 i 12.1.2.0
Oracle Hyperion Essbase, versions 11.1.2.2 i 11.1.2.3
Oracle Hyperion BI+, versions 11.1.2.2 i 11.1.2.3
Oracle Hyperion Enterprise Performance Management Architect, versions 11.1.2.2 i 11.1.2.3
Oracle Hyperion Common Admin, versions 11.1.2.2, 11.1.2.3
Oracle Hyperion Analytic Provider Services, versions 11.1.2.2 i 11.1.2.3
Oracle E-Business Suite Release 11i, versió 11.5.10.2
Oracle E-Business Suite Release 12i, versions 12.0.6, 12.1.3, 12.2.2 i 12.2.3
Oracle Transportation Management, versions 6.1, 6.2, 6.3, 6.3.1, 6.3.2, 6.3.3 i 6.3.4
Oracle Agile Product Collaboration, versió 9.3.3
Oracle PeopleSoft Enterprise ELS Enterprise Learning Management, versions 9.1 i 9.2
Oracle PeopleSoft Enterprise PT PeopleTools, versions 8.52 i 8.53
Oracle PeopleSoft Enterprise FI Install, versions 9.1 i 9.2
Oracle PeopleSoft Enterprise SCM Purchasing, versions 9.1 i 9.2
Oracle Siebel Travel & Transportation, versions 8.1.1 i 8.2.2
Oracle Siebel UI Framework, versions 8.1.1 i 8.2.2
Oracle Siebel Core - Server OM Frwks, versions 8.1.1 i 8.2.2
Oracle Siebel Core - EAI, versions 8.1.1 i 8.2.2
Oracle Communications Messaging Server, versió 7.0.5.30.0
Oracle Retail Back Office, versions 8.0, 12.0, 12.0.9IN, 13.0, 13.1, 13.2, 13.3, 13.4 i 14.0
Oracle Retail Central Office, versions 8.0, 12.0, 12.0.9IN, 13.0, 13.1, 13.2, 13.3, 13.4 i 14.0
Oracle Retail Returns Management, versions 2.0, 13.1, 13.2, 13.3, 13.4 i 14.0
Oracle Java SE, versions 5.0u65, 6u75, 7u60 i 8u5
Oracle JRockit, versions R27.8.2 i R28.3.2
Oracle Solaris, versions 8, 9, 10 i 11.1
Oracle Secure Global Desktop, versions prior to 4.63, 4.71, 5.0 i 5.1
Oracle VM VirtualBox, versions prior to 3.2.24, 4.0.26, 4.1.34, 4.2.26 i 4.3.14
Oracle Virtual Desktop Infrastructure (VDI), versions anteriors a 3.5.1
Sun Ray Software, versions anteriors a 5.4.3
Oracle MySQL Server, versions 5.5 i 5.6

Referències:

None

Solució:

Per a comprovar les matrius de productes afectats, la gravetat i la disponibilitat de pedaços, és necessari comprovar la notificació oficial en:

Oracle Critical Patch Update Advisory - July 2014

http://www.oracle.com/technetwork/topics/security/cpujul2014-1972956.html

Notes:

Hispasec

Més informació:

Oracle Critical Patch Update Advisory - July 2014

http://www.oracle.com/technetwork/topics/security/cpujul2014-1972956.html

Font: Hispasec una-al-día

CSIRT-CV