domingo, 21 de octubre de 2007

Grupo de parches de Octubre para diversos productos Oracle

Oracle ha publicado un conjunto de 51 parches para diversos productos de la firma que solventan una larga lista de vulnerabilidades sobre las que apenas han dado detalles concretos. Las consecuencias son que atacantes locales y remotos pueden provocar denegaciones de servicio, ejecutar código arbitrario, tener acceso de escritura y lectura a datos sensibles, perpetrar ataques de inyección SQL y eludir restricciones de seguridad. Los fallos se dan en varios componentes de los productos.

Los productos afectados son:
Oracle Database 10g Release 2, versiones 10.2.0.2, 10.2.0.3
Oracle Database 10g, versión 10.1.0.5
Oracle Database 9i Release 2, versiones 9.2.0.8, 9.2.0.8DV
Oracle Application Server 10g Release 3 (10.1.3), versiones 10.1.3.0.0, 10.1.3.1.0, 10.1.3.2.0, 10.1.3.3.0
Oracle Application Server 10g Release 2 (10.1.2), versiones 10.1.2.0.1 - 10.1.2.0.2, 10.1.2.1.0, 10.1.2.2.0
Oracle Application Server 10g (9.0.4), versión 9.0.4.3
Oracle Collaboration Suite 10g, versión 10.1.2
Oracle E-Business Suite Release 12, versiones 12.0.0 - 12.0.3
Oracle E-Business Suite Release 11i, versiones 11.5.8 - 11.5.10 CU2
Oracle Enterprise Manager Database Control 10g Release 2, versiones 10.2.0.2, 10.2.0.3
Oracle Enterprise Manager Database Control 10g Release 1, versión 10.1.0.5
Oracle Enterprise Manager Grid Control 10g Release 1, versiones 10.1.0.5, 10.1.0.6
Oracle PeopleSoft Enterprise PeopleTools versiones 8.22, 8.47, 8.48, 8.49
Oracle PeopleSoft Enterprise Human Capital Management versiones 8.9, 9.0 (Absence Management Module)

De las 51 correcciones:

* 28 afectan a Oracle Database, 5 de las cuales no requieren un usuario y contraseña válidos para poder ser aprovechadas. Además se ha publicado una actualización para Oracle Internet Directory que no es instalado por defecto con Oracle database.

* 11 afectan a Oracle Application Server, 7 de las cuales no requieren un usuario y contraseña válidos para poder ser aprovechadas.

* 7 afectan a Oracle Application Server que están incluidas en el código de Oracle Collaboration Suite.

* 8 afectan a Oracle E-Business Suite. Una de ellas no requiere un usuario y contraseña válidos para poder ser aprovechadas. Una de ellas afecta a instalaciones client-only de Oracle E-Business Suite.

* 2 afectan a Oracle Enterprise Manager.

* Uno afecta a Oracle PeopleSoft Enterprise PeopleTools y 1 afecta a PeopleSoft Enterprise Human Capital Management. Ninguna de estas vulnerabilidades puede ser aprovechada remotamente sin autenticación.

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial:

* Oracle Critical Patch Update - October 2007
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2007.html

* Oracle Critical Patch Update October 2007 Documentation Map
http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=455285.1


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Oracle Critical Patch Update - October 2007
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2007.html