domingo, 20 de abril de 2008

Grupo de parches de abril para diversos productos Oracle

Tal y como adelantamos, Oracle ha publicado un conjunto de 41 parches para diversos productos de la casa que solventan una larga lista de vulnerabilidades sobre las que apenas han dado detalles concretos. Las consecuencias son que atacantes locales y remotos pueden provocar denegaciones de servicio, ejecutar código arbitrario, tener acceso de escritura y lectura a datos sensibles, perpetrar ataques de inyección SQL y eludir restricciones de seguridad. Los fallos se dan en varios componentes de los productos.

Los productos afectados son:
Oracle Database 11g, versión 11.1.0.6
Oracle Database 10g Release 2, versiones 10.2.0.2, 10.2.0.3
Oracle Database 10g, versión 10.1.0.5
Oracle Database 9i Release 2, versiones 9.2.0.8, 9.2.0.8DV
Oracle Application Server 10g Release 3 (10.1.3), versiones 10.1.3.0.0, 10.1.3.1.0, 10.1.3.3.0
Oracle Application Server 10g Release 2 (10.1.2), versiones 10.1.2.0.2, 10.1.2.1.0, 10.1.2.2.0
Oracle Application Server 10g (9.0.4), versión 9.0.4.3
Oracle Collaboration Suite 10g, versión 10.1.2
Oracle E-Business Suite Release 12, versiones 12.0.4
Oracle E-Business Suite Release 11i, versiones 11.5.10.2
Oracle PeopleSoft Enterprise PeopleTools versiones 8.22, 8.48, 8.49
Oracle PeopleSoft Enterprise HCM versiones 8.8 SP1, 8.9, 9.0
Oracle Siebel SimBuilder versiones 7.8.2, 7.8.5

De las 41 correcciones:

* 17 afectan a Oracle Database. Una de las cuales no requieren un usuario y contraseña válidos para poder ser aprovechadas. Los componentes afectados son:
Oracle Enterprise Manager, Advanced Queuing, Change Data Capture, Oracle Spatial, Authentication, Oracle Ultra Search, Core RDBMS, Oracle Net Services, Data Pump, Export, Query Optimizer, Audit.

* Tres afectan a Oracle Application Server las cuales no requieren usuario y contraseña válidos para poder ser aprovechadas. Una de ellas es aplicable a las instalaciones de cliente. Los componentes afectados son: Oracle Jinitiator, Oracle Enterprise Manager, Oracle Dynamic Monitoring Service, Oracle Portal, Oracle Ultra Search.

* 11 afectan a Oracle E-Business Suite. Siete de ellas no requieren un usuario y contraseña válidos para poder ser aprovechadas. Los componentes afectados son: Oracle Advanced Pricing, Oracle Application Object Library, Oracle Applications Framework, Oracle Applications Manager, Oracle Applications Technology Stack.

* Una afecta a Oracle Enterprise Manager. Requiere un usuario y contraseña válido para poder ser aprovechada.

* Tres afectan a Oracle PeopleSoft Enterprise y JD Edwards EnterpriseOne. Ninguna de las cuales no requieren un usuario y contraseña válidos para poder ser aprovechadas. Los componentes afectados son: PeopleSoft PeopleTools, PeopleSoft HCM Recruiting, PeopleSoft HCM ePerformance.

* Seis afectan a Oracle Siebel Enterprise. Tres de las cuales no requieren un usuario y contraseña válidos para poder ser aprovechadas. Los componentes afectados son: Siebel SimBuilder.

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial:

* Oracle Critical Patch Update - April 2008
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2008.html

Oracle Critical Patch Update April 2008 Documentation Map:
http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=558178.1


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Oracle Critical Patch Update Advisory - April 2008
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2008.html