"Patchs" Crítics de juliol per a múltiples productes Oracle
Com és habitual, cada 3 mesos Oracle emet el seu Critical Patch Update amb la correcció de diverses vulnerabilitats que afecten els seus productes. En aquesta ocasió, es resolen 78 noves vulnerabilitats. Les conseqüències són que atacants locals i remots poden comprometre greument la seguretat dels sistemes i serveis afectats.
Risc: Alt
A continuació oferim una relació de productes i el nombre de vulnerabilitats corregides:
- 16 noves vulnerabilitats corregides en Oracle Database. Cinc dels problemes corregits són explotables remotament sense autenticació.
- En Oracle Secure Backup apareixen tres pegats, tot ells podrien permetre explotar el sistema atacat sense cap autenticació.
- Altres set vulnerabilitats afecten Oracle Fusió Middleware. Dos d'elles podrien ser explotades per un atacant remot sense autenticar. Els components d'Oracle Fusió Middleware products inclouen Oracle Database, per la qual cosa també estan afectats per les vulnerabilitats aparegudes en aquesta últim producte.
- 18 pegats afecten Oracle Enterprise Manager Grid Control. En aquesta ocasió, 14 d'aquests pegats solucionen vulnerabilitats que podrien ser explotades per un atacant remot sense autenticar. En aquest cas també, el component inclou Oracle Database i Oracle Fusió Middleware, i per tant, les vulnerabilitats d'ambdós.
- 14 noves vulnerabilitats afecten Oracle Applications dividides en: una en Oracle E-Business Suite, una altra en Oracle Supply Chain Products Suite i 12 en Oracle PeopleSoft Products.
- 23 pegats afecten la suite de productes Oracle Sun. Nou d'aquestes noves vulnerabilitats permetien comprometre els sistemes no dos sense necessitat autenticació.
Sistemes Afectats:
- Oracle Database 11g Release 2, versions 11.2.0.1, 11.2.0.2
- Oracle Database 11g Release 1, versió 11.1.0.7
- Oracle Database 10g Release 2, versions 10.2.0.3, 10.2.0.4, 10.2.0.5
- Oracle Database 10g Release 1, versió 10.1.0.5
- Oracle Secure Backup, versió 10.3.0.3
- Oracle Fusion Middleware 11g Release 1, versions 11.1.1.3.0, 11.1.1.4.0, 11.1.1.5.0
- Oracle Application Server 10g Release 3, versió 10.1.3.5.0
- Oracle Application Server 10g Release 2, versió 10.1.2.3.0
- Oracle Business Intelligence Enterprise Edition, versions 10.1.3.4.1, 11.1.1.3
- Oracle Identity Management 10g, versions 10.1.4.0.1, 10.1.4.3
- Oracle JRockit, versions R27.6.9 y anteriores (JDK/JRE 1.4.2, 5, 6), R28.1.3 i anteriors (JDK/JRE 5, 6)
- Oracle Outside In Technology, versions 8.3.2.0, 8.3.5.0
- Oracle Enterprise Manager 10g Grid Control Release 1, versió 10.1.0.6
- Oracle Enterprise Manager 10g Grid Control Release 2, versió 10.2.0.5
- Oracle Enterprise Manager 11g Grid Control Release 1, versió 11.1.0.1
- Oracle E-Business Suite Release 12, versions 12.0.4, 12.0.6, 12.1.1, 12.1.2, 12.1.3
- Oracle E-Business Suite Release 11i, versió 11.5.10.2
- Oracle Agile Technology Platform, versions 9.3.0.3, 9.3.1.1
- Oracle PeopleSoft Enterprise FIN, versió 9.0, 9.1
- Oracle PeopleSoft Enterprise FMS, versions 9.0, 9.1
- Oracle PeopleSoft Enterprise FSCM, versions 9.0, 9.1
- Oracle PeopleSoft Enterprise HRMS, versions 8.9, 9.0, 9.1
- Oracle PeopleSoft Enterprise SCM, versions 9.0, 9.1
- Oracle PeopleSoft Enterprise PeopleTools, versions 8.49, 8.50, 8.51
- Oracle Sun Product Suite
Referències: None
Solució:Per a comprovar les matrius de productes afectats, gravetat i la disponibilitat de pegats, cal comprovar la notificació oficial en:
Oracle Critical Patch Update Advisory - July 2011
Notes: http://www.oracle.com/technetwork/topics/security/cpujuly2011-313328.html
http://www.hispasec.com/unaaldia/4654/