martes, 20 de octubre de 2009

Grupo de parches de octubre para diversos productos Oracle

Oracle ha publicado un conjunto de 38 parches para diversos productos de la casa que solventan una larga lista de vulnerabilidades. Las consecuencias son que atacantes locales y remotos pueden provocar denegaciones de servicio, ejecutar código arbitrario, tener acceso de escritura y lectura a datos sensibles, perpetrar ataques de inyección SQL y eludir restricciones de seguridad.

Los fallos se dan en varios componentes de los productos:
* Oracle Database 11g, versión 11.1.0.7
* Oracle Database 10g Release 2, versiones 10.2.0.3, 10.2.0.4
* Oracle Database 10g, versión 10.1.0.5
* Oracle Database 9i Release 2, versiones 9.2.0.8, 9.2.0.8DV
* Oracle Application Server 10g Release 3 (10.1.3), versiones 10.1.3.4.0, 10.1.3.5.0
* Oracle Application Server 10g Release 2 (10.1.2), versión 10.1.2.3.0
* Oracle Business Intelligence Enterprise Edition, versiones 10.1.3.4.0, 10.1.3.4.1
* Oracle E-Business Suite Release 12, versiones 12.0.6, 12.1
* Oracle E-Business Suite Release 11i, versión 11.5.10.2
* AutoVue, versión 19.3
* Agile Engineering Data Management (EDM), versión 6.1
* PeopleSoft PeopleTools & Enterprise Portal, versión 8.49
* PeopleSoft Enterprise HCM (TAM), versión 9.0
* JDEdward Tools, versión 8.98
* Oracle WebLogic Server 10.0 hasta MP1 y 10.3
* Oracle WebLogic Server 9.0 GA, 9.1 GA y 9.2 hasta 9.2 MP3
* Oracle WebLogic Server 8.1 hasta 8.1 SP5
* Oracle WebLogic Server 7.0 hasta 7.0 SP6
* Oracle WebLogic Portal, versiones 8.1 hasta 8.1 SP6, 9.2 hasta 9.2 MP3, 10.0 hasta 10.0MP1, 10.2 hasta 10.2MP1 y 10.3 hasta 10.3.1
* Oracle JRockit R27.6.4 y earlier (JDK/JRE 6, 5, 1.4.2)
* Oracle Communications Order y Service Management, versiones 2.8.0, 6.2.0, 6.3.0 y 6.3.1

De las 38 correcciones:

* 16 afectan a Oracle Database. Seis de las cuales no requieren un usuario y contraseña válidos para poder ser aprovechadas. Los componentes afectados son: Core RDBMS, Network Authentication, Data Mining, Oracle Spatial, PL/SQL, Application Express, Workspace Manager, Net Foundation Layer, Authentication, Advanced Queuing, Oracle Text, Data Pump y Auditing.

* Tres afectan a Oracle Application Server. Dos de las cuales no requieren usuario y contraseña válidos para poder ser aprovechadas. Los componentes afectados son: Business Intelligence Enterprise Edition y Portal.

* Ocho afectan a Oracle E-Business Suite. Cinco de las cuales no requieren usuario y contraseña válidos para poder ser aprovechadas. Los componentes afectados son: Oracle Advanced Benefits, Agile Engineering Data Management (EDM), Oracle Application Object Library, Oracle Applications Framework, Oracle Applications Technology Stack y AutoVue.

* Cuatro afectan a Oracle PeopleSoft Enterprise y JD Edwards EnterpriseOne. Todas requieren estar autenticado en el sistema para poder aprovecharlas. Los componentes afectados son: PeopleSoft PeopleTools & Enterprise Portal, PeopleSoft Enterprise HCM (TAM) y JD Edwards Tools.

* Seis afectan a BEA Products Suite. Todas puedes ser explotadas de forma remota sin autenticación. Los componentes afectados son: Jrockit, WebLogic Portal y WebLogic Server.

* Por último una vulnerabilidad para Oracle Industry Applications que afecta a Oracle Communications Order y Service Management.

Dada la diversidad de productos afectados y el número de vulnerabilidades se recomienda comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, disponible desde la notificación oficial:

Oracle Critical Patch Update Advisory - October 2009
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2009.html


Antonio Ropero
antonior@hispasec.com


Más información:

Oracle Critical Patch Update Advisory - October 2009
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2009.html

No hay comentarios:

Publicar un comentario en la entrada