Las consecuencias son que atacantes locales y remotos pueden provocar denegaciones de servicio, ejecutar código arbitrario, tener acceso de escritura y lectura a datos sensibles, perpetrar ataques de inyección SQL y eludir restricciones de seguridad. Los fallos se dan en varios componentes de los productos.
La lista de productos afectados es la siguiente:
* Oracle Database 10g Release 2, versiones 10.2.0.1, 10.2.0.2, 10.2.0.3
* Oracle Database 10g Release 1, versiones 10.1.0.3, 10.1.0.4, 10.1.0.5
* Oracle9i Database Release 2, versiones 9.2.0.5, 9.2.0.6, 9.2.0.7,
9.2.0.8
* Oracle9i Database Release 1, versiones 9.0.1.4, 9.0.1.5, 9.0.1.5 FIPS
* Oracle8i Database Release 3, versión 8.1.7.4
* Oracle Identity Management 10g, versión 10.1.4.0.1
* Oracle Application Server 10g Release 3, versiones 10.1.3.0.0,
10.1.3.1.0
* Oracle Application Server 10g Release 2, versiones 10.1.2.0.0 -
10.1.2.0.2, 10.1.2.1.0, 10.1.2.2.0
* Oracle Application Server 10g, versiones 9.0.4.1, 9.0.4.2, 9.0.4.3
* Oracle9i Application Server Release 2, versión 9.0.2.3
* Oracle9i Application Server Release 1, versión 1.0.2.2
* Oracle Enterprise Manager 10g Grid Control Release 2, versión
10.2.0.1
* Oracle Enterprise Manager 10g Grid Control Release 1, versiones
10.1.0.3, 10.1.0.4, 10.1.0.5
* Oracle E-Business Suite Release 11i, versiones 11.5.7 - 11.5.10 CU2
* Oracle E-Business Suite Release 11.0
* Oracle PeopleSoft Enterprise PeopleTools versiones 8.22, 8.47, 8.48
* Oracle Developer Suite, versiones 6i, 9.0.4.3, 10.1.2.0.2
De las más de 50 correcciones:
* 17 afectan a Oracle Database y 1 de ellas no requiere un usuario y contraseña válidos para poder ser aprovechadas.
* 9 afectan a Oracle HTTP Server, 8 de las cuales son aprovechables de forma remota sin necesidad de autenticación.
* 12 afectan a Oracle HTTP Server, y 8 son aprovechables remotamente sin necesidad de autenticación.
* 14 vulnerabilidades de Oracle Application Server están incluidas en componentes de Oracle Collaboration Suite, once de ellas son aprovechables de forma remota sin necesidad de autenticación.
* 7 parches en Oracle E-Business Suite y Applications. Ninguna de ellas es aprovechable de forma remota sin autenticación.
* 6 nuevos parches para Oracle Enterprise Manager, 5 son aprovechables de forma remota sin autenticación.
* 3 nuevos parchces para Oracle PeopleSoft Enterprise. 1 es aprovechable de forma remota sin autenticación.
Para comprobar las matrices de productos afectados, gravedad y la
disponibilidad de parches, es necesario comprobar la notificación
oficial:
* Oracle Critical Patch Update - January 2007
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2007.html
* Critical Patch Update - January 2007 Documentation Map
http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=405814.1
Laboratorio Hispasec
laboratorio@hispasec.com
laboratorio@hispasec.com
Más información:
Oracle Critical Patch Update - January 2007
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2007.html
Critical Patch Update - January 2007 Documentation Map
http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=405814.1
0 comentarios:
Publicar un comentario en la entrada