jueves, 16 de julio de 2009

Grupo de parches de julio para diversos productos Oracle

Oracle ha publicado un conjunto de 33 parches para diversos productos de la casa que solventan una larga lista de vulnerabilidades sobre las que apenas han dado detalles concretos. Las consecuencias son que atacantes locales y remotos pueden provocar denegaciones de servicio, ejecutar código arbitrario, tener acceso de escritura y lectura a datos sensibles, perpetrar ataques de inyección SQL y eludir restricciones de seguridad.

Los fallos se dan en varios componentes de los productos:
* Oracle Database 11g, versión 11.1.0.6, 11.1.0.7
* Oracle Database 10g Release 2, versiones 10.2.0.3, 10.2.0.4
* Oracle Database 10g, versión 10.1.0.5
* Oracle Database 9i Release 2, versiones 9.2.0.8, 9.2.0.8DV
* Oracle Application Server 10g Release 2 (10.1.2), versión 10.1.2.3.0
* Oracle Application Server 10g Release 3 (10.1.3), versiones 10.1.3.3.0, 10.1.3.4.0
* Oracle Identity Management 10g, versión 10.1.4.0.1, 10.1.4.2.0, 10.1.4.3.0
* Oracle E-Business Suite Release 12, versión 12.1
* Oracle E-Business Suite Release 12, versión 12.0.6
* Oracle E-Business Suite Release 11i, versión 11.5.10.2
* Oracle Enterprise Manager Database Control 11, versión 11.1.0.6, 11.1.0.7
* Oracle Enterprise Manager Grid Control 10g Release 4, versión 10.2.0.4
* PeopleSoft Enterprise PeopleTools versiones: 8.49
* PeopleSoft Enterprise HRMS versiones: 8.9 y 9.0
* Siebel Highly Interactive Client versiones: 7.5.3, 7.7.2, 7.8, 8.0, 8.1
* Oracle WebLogic Server 10.3, 10.0MP1
* Oracle WebLogic Server 9.0 GA, 9.1 GA, 9.2 hasta 9.2 MP3
* Oracle WebLogic Server 8.1 hasta 8.1 SP6
* Oracle WebLogic Server 7.0 hasta 7.0 SP7
* Oracle Complex Event Processing 10.3 y WebLogic Event Server 2.0
* Oracle JRockit R27.6.3 y anteriores (JDK/JRE 6, 5, 1.4.2)

De las 33 correcciones:

* 10 afectan a Oracle Database. Tres de las cuales no requieren un usuario y contraseña válidos para poder ser aprovechadas. Ninguna es aplicable a las instalaciones de cliente. 2 afectan a Oracle Secure Backup. Una de las cuales no requieren un usuario y contraseña válidos para poder ser aprovechadas. Los componentes afectados son: Network Foundation, Network Authentication, Advanced Replication, Config Management, Upgrade, Virtual Private Database, Listener, Secure Enterprise Search, Core RDBMS y Auditing.

* Dos vulnerabilidades para Oracle Secure Enterprise Search 10g con Oracle Secure Enterprise Search.

* Dos afectan a Oracle Application Server. Las dos requieren un usuario y contraseña válidos para poder ser aprovechadas. Ninguna es aplicable a las instalaciones de cliente. Los componentes afectados son: Oracle Security Developer Tools y HTTP Server.

* 5 afectan a Oracle Applications. 3 no requieren un usuario y contraseña válidos para poder ser aprovechadas. Los componentes afectados son: Oracle Application Object Library, Application Install, Oracle Applications Framework, Oracle iStore y Oracle Applications Manager.

* Dos afectan a Oracle Enterprise Manager. Todas requieren un usuario y contraseña válidos para poder ser aprovechadas. Los componentes afectados son: Config Management.

* Tres afectan a Oracle PeopleSoft and JDEdwards Suite. Una no requiere un usuario y contraseña válidos para poder ser aprovechada. Los componentes afectados son: PeopleSoft Enterprise FMS, PeopleSoft Enterprise PeopleTools - Enterprise Portal y PeopleSoft Enterprise HRMS eProfile Manager.

* Una afecta a Oracle Siebel Suite. Requiere un usuario y contraseña válidos para poder ser aprovechada. Los componentes afectados son: Highly Interactive Client

* Cinco afectan a Oracle BEA Products Suite. Ninguna requiere un usuario y contraseña válidos para poder ser aprovechada. Los componentes afectados son: Jrockit, Oracle Complex Event Processing, WebLogic Server.

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial:

Oracle Critical Patch Update Advisory - July 2009
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2009.html


Sergio de los Santos
ssantos@hispasec.com


Más información:

Oracle Critical Patch Update Advisory - July 2009
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2009.html

No hay comentarios:

Publicar un comentario en la entrada