CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

27/07/2012

Forats en el convertidor de fitxers d'Oracle afecten altres aplicacions i servicis

Oracle Els forats de seguretat tancats per Oracle la setmana passada afecten una llibreria de tractament i conversió de fitxers que és utilitzada per multitud d’aplicacions de tercers. Entre els afectats es troben Cisco, Microsoft, HP, IBM, Novell, Symantec i McAfee.

Alguns dels forats de seguretat que Oracle va tancar la setmana passada afecten també el programari d’altres companyies, perquè la llibreria Outside In d’Oracle s’utilitza en molts altres productes per a convertir fitxers entre diferents formats. Entre els afectats es troben Microsoft Exchange Server i Sharepoint, productes de Cisco, HP, IBM, Novell, Symantec i McAfee, entre altres.

Sent estrictes, no es tracta d’una única fallada de seguretat, sinó d’un total de 14 fallades en l’anàlisi de certs tipus de fitxers. Els formats afectats són .VSD, .WSD, .JP2, .DOC, .SXD, .LWP, .PCX, .SXI, .DPT, .PDF, .SAM, .ODG i .CDR. Un programa que òbriga un fitxer especialment dissenyat amb alguna d’estes extensions per mitjà de les llibreries d’Oracle està compromés.

El rang d’aplicacions i servicis de servidor afectats és molt ampli, incloent-hi antivirus com McAfee GroupShield, però també aplicacions específiques d’escriptori que necessiten tractar fitxers de diferents tipus, com l’aplicació Guidance EnCase Forensic toolkit.

Un dels butlletins de seguretat d’US-CERT fa un llistat d’un conjunt de companyies i productes que utilitzen les llibreries d’Oracle i que són també vulnerables. Entre ells destaquen:

Encara no es coneix exactament el nombre de productes afectats, ni si tots els productes que utilitzen esta llibreria són vulnerables. Tampoc no se sap si els desenrotlladors d’estes publicaran pegats per als seus productes, ni quan.

Font: The H Online

CSIRT-CV