Oracle corregix 86 vulnerabilitats en la seua actualització de seguretat de gener
El primer butlletí de seguretat de l’any per a Oracle, dels quatre de freqüència trimestral que té planificat per al 2013, conté pedaços per a 86 vulnerabilitats diferents en múltiples productes.
Risc: Alt
La majoria de les vulnerabilitats que allotja este butlletí es cataloguen en importància mitjana baixa. Un gran nombre són provocades per errors en el protocol HTTP.
Les excepcions més notables es troben entre aquelles que afecten les bases de dades (Database Server i MySQL Server), que podrien permetre a un atacant remot prendre el control del sistema. En especial, les vulnerabilitats CVE-2013-0361 i CVE-2013-0366, per a Database Mobile/Lite, que poden ser explotades remotament sense la necessitat d’autenticació, i que obtenen una puntuació CVSS de 10.
A continuació oferim una relació de productes i el nombre de vulnerabilitats corregides:
- Oracle Database (6). La primera d’estes afecta Database Server i permet a l’atacant prendre el control del sistema. Encara que és explotable de forma remota i la complexitat d’explotació és baixa, la necessitat d’autenticació simple i de posseir privilegis per a la creació de taules en reduïx la puntuació CVSS a 9 en sistemes Windows. Per a sistemes *NIX, esta puntuació és menor (6,5), ja que el compromís del sistema és només parcial.
Sobre la resta, pertanyents a la versió Mobile/Lite, són totes explotables remotament sense la necessitat d’autenticació i afecten el protocol HTTP. A més de les dos mencionades anteriorment, trobem tres errors que comprometen per complet la confidencialitat del sistema.
- Fusion Middleware (7). 5 d’estes explotables remotament sense autenticació. Entre estes, tres comprometen la disponibilitat i dos la integritat del sistema. Les altres dos són denegacions de servici només explotables de manera local. Totes comprometen el sistema només parcialment.
- Enterprise Manager Grid Control (13). Totes afecten el protocol http i són explotables de forma remota sense la necessitat d’autenticació. Cal parar una atenció especial a la vulnerabilitat CVE-2013-0359, que pot provocar el compromís parcial de la confidencialitat, integritat i disponibilitat del sistema. La resta només n'afecten, també parcialment, la integritat.
- E-Business Suite (9). Quatre vulnerabilitats relacionades amb la disponibilitat del sistema, dos d’estes explotables de forma remota.
- Oracle Supply Chain (1). S’allotja en el component Oracle Agile PLM Framework, en el protocol HTTP i amb baixa puntuació CVSS (2,1) en part a causa de la seua alta complexitat d’accés, la seua necessitat d’autenticació i el seu baix impacte (parcial per a la confidencialitat).
- PeopleSoft (12). Totes relacionades amb el protocol HTTP. 7 d’estes poden explotar-se de forma remota sense la necessitat de credencials, i per tant suposen majoritàriament un compromís parcial de la integritat del sistema.
- Oracle JD Edwards (1). D’importància baixa i no explotable remotament, suposa només un compromís parcial de la confidencialitat.
- Siebel CRM (10). Totes relacionades amb el protocol HTTP. I la meitat d’estes explotables remotament sense autenticació. Principalment del tipus denegació de servici o revelació d’informació.
- Oracle Sun Products (8). Són 7 per a Solaris, explotables només de manera local. D’estes, tres impliquen un compromís total del sistema. La restant afecta el Common Array Manager i és explotable a través de la xarxa sense la necessitat de credencials, podent ser utilitzada per a revelar informació sensible.
- Oracle Virtualization (1). De puntuació baixa i que afecta l’aplicació de virtualització VirtualBox. Només explotable localment.
- Oracle MySQL Product Suite (18). Majoritàriament denegacions de servici que podrien afectar només l’aplicació o el sistema al complet. Destaquen les vulnerabilitats CVE-2012-5611 i CVE-2012-5612, que podrien provocar un compromís total del sistema en Windows (parcial en *nix, amb una puntuació CVSS de 6,5).
Sistemes Afectats:
- Oracle Database
Oracle Database 11g Release 2, versions 11.2.0.2, 11.2.0.3
Oracle Database 11g Release 1, versió 11.1.0.7
Oracle Database 10g Release 2, versions 10.2.0.3, 10.2.0.4, 10.2.0.5
Oracle Database Mobile Server, versió 11.1.0.0
Oracle Database Lite Server, versió 10.3.0.3
- Fusion Middleware
Oracle Access Manager/Webgate, versions 10.1.4.3.0, 11.1.1.5.0, 11.1.2.0.0
Oracle GoldenGate Veridata, versió 3.0.0.11.0
Management Pack for Oracle GoldenGate, versió 11.1.1.1.0
Oracle Outside In Technology, versions 8.3.7, 8.4
Oracle WebLogic Server, versions 9.2.4, 10.0.2, 10.3.5, 10.3.6, 12.1.1
- Oracle Enterprise Manager Grid Control
Application Performance Management, versions 6.5, 11.1, 12.1.0.2
Enterprise Manager Grid Control 11g Release 1, versió 11.1.0.1
Enterprise Manager Grid Control 10g Release 1, versió 10.2.0.5
Enterprise Manager Plugin for Database 12c Release 1, versions 12.1.0.1, 12.1.0.2
-
Oracle E-Business Suite
Oracle E-Business Suite Release 12, versions 12.0.6, 12.1.1, 12.1.2, 12.1.3
Oracle E-Business Suite Release 11i, versió 11.5.10.2
-
Oracle Supply Chain Products Suite
Oracle Agile PLM Framework, versió 9.3.1.1
-
Oracle PeopleSoft
Oracle PeopleSoft HRMS, versions 9.0, 9.1
Oracle PeopleSoft PeopleTools, versions 8.51, 8.52
-
Oracle JD Edwards
Oracle JD Edwards EnterpriseOne Tools, versions 8.9, 9.1, SP24
-
Oracle Siebel
Oracle Siebel CRM, versions 8.1.1, 8.2.2
-
Oracle Sun
Oracle Sun Product Suite
-
Oracle Virtualization
Oracle VM VirtualBox, versions 4.0, 4.1, 4.2
-
Oracle MySQL
Oracle MySQL Server, versions 5.1.66 i anteriors, 5.5.28 i anteriors.
Referències: None
Solució:
Per a més informació sobre les vulnerabilitats solucionades i l’aplicació dels pedaços, es recomana visitar el lloc oficial del butlletí.
Notes: Oracle Critical Patch Update - January 2013
Hispasec una-al-dia
CCN-Cert