viernes, 20 de enero de 2012

Oracle corrige 78 vulnerabilidades para su boletín de enero 2012

Oracle Systems ha publicado, como tenía establecido para el 17 de enero, un nuevo paquete de actualizaciones que afectaban a gran parte de sus productos, en especial a Oracle Database, MySQL y Solaris.

Ofrecemos un listado completo de los productos afectados:
·         Oracle Database
Oracle Database 11g Release 2, versiones 11.2.0.2, 11.2.0.3
Oracle Database 11g Release 1, versión 11.1.0.7
Oracle Database 10g Release 1, versión 10.1.0.5
Oracle Database 10g Release 2, versiones 10.2.0.3, 10.2.0.4, 10.2.0.5
  
·         Fusion Middleware
Oracle WebLogic Server, versiones 9.2.4, 10.0.2, 11gR1 (10.3.3, 10.3.4, 10.3.5)
Oracle Outside In Technology, versiones 8.3.5, 8.3.7
Oracle Application Server 10g Release 3, versión 10.1.3.5.0
Oracle Fusion Middleware 11g Release 1, versiones 11.1.1.3.0,11.1.1.4.0, 11.1.1.5.0
   
·         E-Business Suite
Oracle E-Business Suite Release 11i, versión 11.5.10.2
Oracle E-Business Suite Release 12, versiones 12.1.2, 12.1.3
  
·         Oracle Supply Chain
Oracle Transportation Management, versiones 5.5, 6.0, 6.1, 6.2
   
·         PeopleSoft
Oracle PeopleSoft Enterprise PeopleTools, versión 8.52
Oracle PeopleSoft Enterprise HCM, versiones 8.9, 9.0, 9.1
Oracle PeopleSoft Enterprise CRM, versión 8.9
   
·         JDEdwards
Oracle JDEdwards, versión 8.98

   
·         Oracle Sun Product Suite
Oracle Communications Unified 7.0
Sun Java System Application Server 8.1, 8.2
GlassFish Enterprise Server 2.1.1, 3.0.1, 3.1.1
Communications Server 2.0
Solaris versiones 8, 9, 10, 11 Express
   
·         Oracle Virtualization Product Suite
Oracle Virtual Desktop Infrastructure, versión 3.2
Oracle VM VirtualBox, versión 4.1
    
·         Oracle MySQL Product Suite
Oracle MySQL Server, versiones 5.0, 5.1, 5.5

En resumen las vulnerabilidades pueden considerarse de nivel medio-bajo. La mayoría de ellas se catalogan como denegaciones de servicio (Oracle DB, Solaris, MySQL y servicios relacionados con HTTP), mientras que las más elevadas son las que afectan a Oracle WebCenter Content, con una gravedad según la puntuación CVSS de 6.4 (CVE-2012-0083) y las de Solaris (CVE-2012-0094, CVE-2012-0100) con 7.8 y 6.8 respectivamente.

A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas:

  • Oracle DB: dos parches que actualizan sendas denegaciones de servicio de remotas.
  • Fusion Middleware: 11 vulnerabilidades, 8 de ellas explotables remotamente.
  • E-Business Suite: tres vulnerabilidades relacionadas con el acceso a información confidencial y posible modificación de los datos.
  • Oracle Supply Chain: una denegación de servicio explotable remotamente.
  • PeopleSoft: seis vulnerabilidades relacionadas con el acceso a información confidencial y posible modificación de los datos.
  • JD Edwards: ocho vulnerabilidades relacionadas con el acceso a información confidencial y posible modificación de los datos.
  • Oracle Sun Products: 17 vulnerabilidades en total, 10 relacionadas con denegaciones de servicio y el resto  con el acceso a información confidencial y posible modificación de los datos.
  • Oracle Virtualization Product Suite: tres vulnerabilidades relacionadas con el acceso a información confidencial y posible modificación de los datos.
  • Oracle MySQL Product Suite: la mayor actualización, con 37 vulnerabilidades relacionadas en gran medida con denegaciones de servicio, acceso a información confidencial y posible modificación de los datos.

Debido a la amplia cuantía de sistemas afectados recomendamos la actualización de los mismos mediante los parches y guías de actualización facilitados.

Más información:

Oracle Critical Patch Update Advisory - January 2012


José Mesa Orihuela

No hay comentarios:

Publicar un comentario en la entrada