Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

18/07/2013

Oracle corregix 89 vulnerabilitats en la seua actualització de seguretat de juliol

Seguint el seu ritme de publicació trimestral d’actualitzacions, Oracle publica el seu butlletí de seguretat de juliol. Conté pegats per a 89 vulnerabilitats diferents en múltiples productes pertanyents a 12 famílies diferents, que van des del popular gestor de base de dades Oracle Database fins a Solaris o MySQL. La majoria de les vulnerabilitats que allotja este butlletí es cataloguen en importància mitja-baixa.

A continuació oferim una relació de productes i el nombre de vulnerabilitats corregides:

Oracle Database
S’han publicat sis nous pegats per a Oracle Database Server. La més greu de totes pot ser explotable de forma remota sense autenticació. Cap dels problemes afecten instal·lacions de la part de només-client (instal·lacions que no tinguen instal·lat Oracle Database Server). Inclou la vulnerabilitat (CVE-2013-3751) de major impacte (amb una puntuació CVSS de 9.0) de totes les corregides.

Oracle Fusió Middleware
Esta actualització soluciona 21 vulnerabilitats en Oracle Fusió Middleware. 16 d’elles poden explotar-se de forma remota sense autenticació.

Oracle Hyperion
Inclou un nou pegat per a Oracle Hyperion. Esta només pot explotar-se per usuaris autenticats, per a accedir a dades dels sistemes afectats.

Enterprise Manager Grid Control
En esta actualització s’inclou la correcció de dos noves vulnerabilitats (CVE-2013-3758 i CVE-2013-3791) en Oracle Enterprise Manager Grid Control. Ambdós problemes poden explotar-se de forma remota sense autenticació i no afecten instal·lacions només-client, i podrien permetre .la modificació de dades en els sistemes afectats.

E-Business Suite
Inclou set nous pegats per a Oracle E-Business Suite. Quatre de les vulnerabilitats poden explotar-se de forma remota sense autenticació.

Oracle Supply Chain
Es corregixen quatre noves vulnerabilitats en Oracle Supply Chain Products Suite, només una d’elles pot explotar-se de forma remota sense autenticació.

PeopleSoft
Se solucionen 10 noves vulnerabilitats, totes relacionades amb el protocol HTTP. Huit d’estes poden explotar-se de forma remota sense necessitat de credencials.

Oracle iLearning
Es corregix una vulnerabilitat en Oracle iLearning explotable de forma remota sense autenticació.

Oracle Industry Applications
Es corregix una vulnerabilitat en Oracle Industry Applications (explotable de forma local amb autenticació).

Oracle Sun Products
Se solucionen 16 noves vulnerabilitats, principalment afecten totes elles a diferents versions de Solaris (des de la versió 8 a l’11). Huit d’estes poden explotar-se de forma remota sense necessitat de credencials.

Oracle Virtualization
En esta actualització s’inclou la correcció de dos noves vulnerabilitats en el component Secure Global Desktop a través de http. Ambdós problemes poden explotar-se de forma remota sense autenticació

Oracle MySQL Product Suite
Se solucionen 18 noves vulnerabilitats en MySQL Server, majoritàriament denegacions de servici que podrien afectar només l’aplicació o el sistema al complet. Si bé només dos dels problemes poden explotar-se de forma remota sense autenticació.

Sistemes Afectats:

• Oracle Database
  

  Oracle Database 11g Release 2, versions 11.2.0.2 i 11.2.0.3
  Oracle Database 11g Release 1, versió 11.1.0.7
  Oracle Database 10g Release 2, versions 10.2.0.4 i 10.2.0.5

• Oracle Fusió Middleware
  

  Oracle Access Manager, versions 11.1.1.5.0, 11.1.1.7.0 i 11.1.2.0.0
  Oracle Endeca Server, versions 7.4.0 i 7.5.1.1
  Oracle HTTP Server, versions 10.1.3.5.0
  Oracle JRockit, versions R27.7.5 i anteriors, R28.2.7 i anteriors
  Oracle Outside In Technology, versions 8.3.7, 8.4.0, 8.4.1
  Oracle WebCenter Content, versions 10.1.3.5.1, 11.1.1.6.0, 11.1.1.7.0

• Oracle Hyperion
  

  Oracle Hyperion BI, versions 11.1.1.3, 11.1.1.4.107 i anteriors, 11.1.2.1.129 i anteriors, 11.1.2.2.305 i anteriors

• Oracle Enterprise Manager Grid Control
  

  Enterprise Manager Plugin for Database 12c Release 1, versions 12.1.0.2 i 12.1.0.3
  Enterprise Manager Grid Control 11g Release 1, versió 11.1.0.1
  Enterprise Manager Grid Control 10g Release 1, versió 10.2.0.5

• Oracle E-Business Suite
  Oracle E-Business Suite Release 12i, versions 12.0.6, 12.1.1, 12.1.2 i 12.1.3
  Oracle E-Business Suite Release 11i, versió 11.5.10.2   

• Oracle Supply Chain Products Suite
  Oracle Agile Collaboration Framework, versió 9.3.1
  Oracle Agile PLM Framework, versió 9.3.1
  Oracle Agile Product Framework, versió 9.3.1

• Oracle PeopleSoft
  Oracle PeopleSoft Enterprise Portal, versió 9.1
  Oracle PeopleSoft HRMS, versió 9.1
  Oracle PeopleSoft PeopleTools, versions 8.51, 8.52, 8.53   

• Oracle i iLearning
  Oracle iLearning, versions 5.2.1, 6.0   

• Oracle Industry Applications Product Suite
  Oracle Policy Automation, versions 10.2.0, 10.3.0, 10.3.1, 10.4.0, 10.4.1 i 10.4.2

• Oracle and Sun Systems Product Suite
  Solaris Cluster 3.2, 3.3, 4 anteriors a 4.1 SRU 3
  Solaris 8, 9, 10, 11
  SPARC Enterprise M Series Servers XCP 1114 i anteriors

• Oracle Linux and Virtualization
  Oracle Secure Global Desktop, versions 4.6 anteriors a 4.63 i 4.7 anteriors a 4.71   

• Oracle MySQL Product Suite
  Oracle MySQL Server, versions 5.1, 5.5 i 5.6

 

Referències:

None

Solució:

Per a més informació sobre les vulnerabilitats solucionades i l’aplicació dels pegats, es recomana visitar el lloc oficial del butlletí.

Notes:

Hispasec una-al-dia
Oracle Critical Patch Advisory - July 2013

CSIRT-CV