miércoles, 18 de octubre de 2006

Grupo de parches de octubre para diversos productos Oracle

Oracle ha publicado un conjunto de más de cien parches para diversos
productos de la casa que solventan una larga lista de vulnerabilidades
sobre las que apenas han dado detalles concretos. Las consecuencias
son que atacantes locales y remotos pueden provocar denegaciones de
servicio, ejecutar código arbitrario, tener acceso de escritura y
lectura a datos sensibles, perpetrar ataques de inyección SQL y eludir
restricciones de seguridad. Los fallos se dan en varios componentes de
los productos.

La lista de productos afectados es la siguiente:
* Oracle Database 10g Release 2, versión 10.2.0.1, 10.2.0.2
* Oracle Database 10g Release 1, versiones 10.1.0.4, 10.1.0.5
* Oracle9i Database Release 2, versiones 9.2.0.6, 9.2.0.7
* Oracle8i Database Release 3, versión 8.1.7.4
* Oracle Application Express, versiones 1.5 - 2.0
* Oracle Application Server 10g Release 3, versiones 10.1.3.0.0
* Oracle Application Server 10g Release 2, versiones 10.1.2.0.0 -
10.1.2.0.2, 10.1.2.1.0
* Oracle Application Server 10g Release 1 (9.0.4), versiones 9.0.4.2,
9.0.4.3
* Oracle Collaboration Suite 10g Release 1, versiones 10.1.2.0
* Oracle9i Collaboration Suite Release 2, versión 9.0.4.2
* Oracle E-Business Suite Release 11i, versiones 11.5.7 - 11.5.10 CU2
* Oracle E-Business Suite Release 11.0
* Oracle Pharmaceutical Applications versiones 4.5.0 - 4.5.1
* Oracle PeopleSoft Enterprise People Tools, versiones 8.22, 8.46,
8.47, 8.48
* Oracle PeopleSoft Enterprise Portal Solutions, Enterprise Portal,
versión 8.8, 8.9
* JD Edwards EnterpriseOne Tools, versiones 8.95, 8.96
* JD Edwards OneWorld Tools SP23
* Oracle9i Database Release 1, versiones 9.0.1.4
* Oracle9i Database Release 1, versiones 9.0.1.5, 9.0.1.5 FIPS
* Oracle9i Application Server Release 2, versiones 9.0.2.3, 9.0.3.1
* Oracle9i Application Server Release 1, versión 1.0.2.2
* Oracle Developer Suite, versiones 6i, 9.0.4.1, 9.0.4.2, 9.0.4.3,
10.1.2.0.2, 10.1.2.2
* Oracle Database 10g Release 1, versión 10.1.0.3
* Oracle9i Database Release 2, versión 9.2.0.5
* Oracle Application Server 10g Release 1 (9.0.4), versión 9.0.4.1

De las más de cien correcciones:

* 22 afectan a Oracle Database y todas requieren un usuario y
contraseña válidos para poder ser aprovechadas.

* 6 afectan a Oracle HTTP Server, y 5 son aprovechables remotamente
sin necesidad de autenticación.

* 35 afectan a Oracle Application Express, y 25 son aprovechables
remotamente sin necesidad de autenticación.

* Las instalaciones cliente de Oracle Database no necesitan parches.

* 14 nuevos parches afectan a Oracle Application Server. 13 de las
cuales son aprovechables de forma remota sin autenticación. 3 de ellas
son aplicables a instalaciones cliente de Oracle Reports Developer y
Oracle Containers para J2EE. 6 nuevos parches aprovechables de forma
remota sin autenticación se aplican a productos Oracle Application
Server que están soportados sólo para uso como parte de otros
productos.

* No se han publicado nuevos parches específicos para Oracle
Collaboration Suite, pero 12 vulnerabilidades de Oracle Aplication
Server están incluidas en el código de Oracle Collaboration Suite y
son aprovechables de forma remota sin necesidad de autenticación.

* 13 nuevos parches para Oracle E-Business Suite, uno es aprovechable
de forma remota sin necesidad de autenticación. Oracle E-Business
Suite incluye código de Oracle9i Application Server Release 1, versión
1.0.2.2. 8 de las vulnerabilidades de Oracle Application Server son
aplicables a esta versión de código y 7 son aprovechables de forma
remota sin necesidad de autenticación.

* Un nuevo parche para Oracle Pharmaceutical Applications.

* No hay parches para Oracle Enterprise Manager, pero incluye
componentes de Oracle Database y Oracle Application Server que se
ven afectados por vulnerabilidades anteriores.

* 8 nuevos parches para Oracle PeopleSoft Enterprise PeopleTools
y Enterprise Portal Solutions, y uno nuevo parche para JD Edwards
EnterpriseOne. Una vulnerabilidad de Oracle PeopleSoft Enterprise
PeopleTools es aprovechable de forma remota sin necesidad de
autenticación.

Para comprobar las matrices de productos afectados y la disponibilidad
de parches, es necesario comprobar la notificación oficial:

* Oracle Critical Patch Update - Octubre 2006
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2006.html

* Critical Patch Update - October 2006 Documentation Map

http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=391560.1


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Oracle ofrecerá más y mejor información en sus boletines de seguridad
http://www.hispasec.com/unaaldia/2915

Oracle Critical Patch Update - Octubre 2006
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2006.html

Critical Patch Update - October 2006 Documentation Map
http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=391560.1