viernes, 15 de octubre de 2010

Grupo de parches de octubre para múltiples productos Oracle

Oracle ha publicado un conjunto de parches para diversos productos de la casa que solventan un total de 85 vulnerbailidades. Las consecuencias son que atacantes locales y remotos pueden comprometer gravemente la seguridad de los sistemas y servicios afectados.

Los fallos se dan en varios componentes de los productos:
* Oracle Database 11g Release 2, versión 11.2.0.1
* Oracle Database 11g Release 1, versión 11.1.0.7
* Oracle Database 10g Release 2, versiones 10.2.0.3 y 10.2.0.4
* Oracle Database 10g, Release 1, versión 10.1.0.5
* Oracle Fusion Middleware, 11gR1, versiones 11.1.1.1.0 y 11.1.1.2.0
* Oracle Application Server, 10gR3, versión 10.1.3.5.0
* Oracle Application Server, 10gR2, versión 10.1.2.3.0
* Oracle BI Publisher, versiones 10.1.3.3.2, 10.1.3.4.0 y 10.1.3.4.1
* Oracle Identity Management 10g, versiones 10.1.4.0.1 y 10.1.4.3
* Oracle E-Business Suite Release 12, versiones 12.0.4, 12.0.5, 12.0.6, 12.1.1 y 12.1.2
* Oracle E-Business Suite Release 11i, versiones 11.5.10 y 11.5.10.2
* Agile PLM versión 9.3.0.0
* Oracle Transportation Management versiones 5.5, 6.0 y 6.1
* PeopleSoft Enterprise CRM, FMS, HCM and SCM (Supply Chain), versiones 8.9, 9.0 y 9.1
* PeopleSoft Enterprise EPM, Campus Solutions, versiones 8.9, 9.0 y 9.1
* PeopleSoft Enterprise PeopleTools versiones 8.49 y 8.50
* Siebel Core versiones 7.7, 7.8, 8.0 y 8.1
* Primavera P6 Enterprise Project Portfolio Management, Versiones: 6.21.3.0 y 7.0.1.0
* Oracle Sun Product Suite
* Oracle VM versión 2.2.1

Hay que recordar que también se incluyen los parches para el sistema operativo Solaris. Tras la compra de Sun por parte de Oracle, las actualizaciones de Sun pasan a integrarse dentro del calendario de publicaciones trimestrales.

A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas.

Nueve vulnerabilidades corregidas en Oracle Database. Dos de los problemas corregidos son explotables remotamente sin autenticación.

Otras nueve vulnerabilidades afectan a Oracle Fusion Middleware. Siete de las vulnerabilidades podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: EM Console, OID, BI Publisher, Cabo/UIX, Forms, BPEL Console yPerl.

Un parche afecta a Oracle Enterprise Manager Grid Control. La vulnerabilidad podría ser explotada por un atacante remoto sin autenticar. El componente afectado es la consola EM.

Seis vulnerabilidades afectan a Oracle Applications. Los componentes afectados son Oracle Applications Manager, Oracle Applications Technology Stack, Oracle E-Business Intelligence, Oracle Territory Management y Oracle iRecruitment. En total cinco vulnerabilidades podrían ser explotadas por un atacante remoto sin autenticar.

26 parches afectan a la suite de productos Oracle Sun. 11 de las vulnerabilidades podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Solaris, OpenSolaris, Oracle Communications Messaging Server (Sun Java System Messaging Server), Sun Convergence 1, Sun Java Communications Suite 7, Oracle iPlanet Web Server (Sun Java System Web Server), Sun Java System Identity Manager, Directory Server Enterprise Edition, Oracle iPlanet Web Server (Sun Java System Web Server) y Oracle Explorer (Sun Explorer).

También se han corregido dos vulnerabilidades en Oracle Supply Chain, 21 en Oracle PeopleSoft and JDEdwards Suite, cuatro en Oracle Siebel Suite, una en Oracle Primavera Products Suite, cinco en Oracle Open Office Suite y cuatro en Oracle VM.

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial:

Oracle Critical Patch Update Advisory - October 2010
http://www.oracle.com/technetwork/topics/security/cpuoct2010-175626.html


Antonio Ropero
antonior@hispasec.com


Más información:

Oracle Critical Patch Update Advisory - October 2010
http://www.oracle.com/technetwork/topics/security/cpuoct2010-175626.html

No hay comentarios:

Publicar un comentario en la entrada