martes, 16 de octubre de 2012

Boletines de seguridad de Oracle y Java en octubre (139 vulnerabilidades)


Oracle soluciona 139 vulnerabilidades este mes y finaliza el ciclo anual de actualizaciones. Oracle Systems ha hecho público su tercer y último boletín de seguridad de este año, que corrige 109 vulnerabilidades presentes en 11 familias de productos Oracle, en especial Oracle DB, Fusion Middleware, Solaris y MySQL.

Las vulnerabilidades presentes en estos boletines están bastante repartidas entre los productos afectados, listados a continuación con sus versiones correspondientes:

  • Oracle Database Server
    Oracle Database 11g Release 2, versiones 11.2.0.2, 11.2.0.3
    Oracle Database 11g Release 1, versión 11.1.0.7
    Oracle Database 10g Release 2, versiones 10.2.0.3, 10.2.0.4, 10.2.0.5
  •  Oracle Fusion Middleware
    Oracle Fusion Middleware 11g Release 1, versión 11.1.1.6
    Oracle Forms and Reports 11g, Release 2, versión 11.1.2.0          

    Oracle Forms and Reports 11g Release 1, versión 11.1.1.4

    Oracle BI Publisher, versiones 10.1.3.4.2, 11.1.1.5.0, 11.1.1.6.0, 11.1.1.6.2

    Oracle Event Processing, versiones 2.0, 11.1.1.4.0, 11.1.1.6.0

    Oracle Identity Management 10g, versión 10.1.4.3

    Oracle Imaging and Process Management, versión 10.1.3.6.0

    Oracle JRockit versiones, R28.2.4 y posteriores, R27.7.3 y posteriores
    Oracle Outside In Technology, versión 8.3.7

    Oracle WebLogic Server, versiones 9.2.4.0, 10.0.2.0, 10.3.5.0, 10.3.6.0, 12.1.1.0

    Oracle WebCenter Sites, versiones 6.1, 6.2, 6.3.x, 7, 7.0.1, 7.0.2, 7.0.3, 7.5, 7.6.1, 7.6.2, 11.1.1.6.0
  • Oracle E-Business Suite
    Oracle E-Business Suite Release 12, versiones 12.0.6, 12.1.1, 12.1.2, 12.1.3

    Oracle E-Business Suite Release 11i, versión 11.5.10.2
  • Oracle Supply Chain
    Oracle Agile PLM For Process, versiones 5.2.2, 6.0.0.6.3, 6.1.0.0, 6.1.0.1.14

    Oracle Agile PLM Framework, versiones 9.3.1.0, 9.3.1.1

    Oracle Agile Product Supplier Collaboration for Process, versions 5.2.2, 6.1.0.0
  • Oracle PeopleSoft Products
    Oracle PeopleSoft Enterprise Campus Solutions, versión 9.0

    Oracle PeopleSoft Enterprise PeopleTools, versiones 8.50, 8.51, 8.52
  • Oracle Siebel CRM
    Oracle Siebel UI Framework, versión 8.1.1
  • Oracle Industry Applications
    Oracle Central Designer, versiones 1.3, 1.4, 1.4.2

    Oracle Clinical/Remote Data Capture, versiones 4.6.0, 4.6.2
  • Oracle Financial Services Software
    Oracle FLEXCUBE Direct Banking, versiones 5.0.2, 5.0.5, 5.1.0, 5.2.0, 5.3.0-5.3.4, 6.0.1, 6.2.0, 12

    Oracle FLEXCUBE Universal Banking, versiones 10.0.0-10.5.0, 11.0.0-11.4.0, 12
  •  Oracle Sun Products Suite
  • Oracle Virtualization
    Oracle Secure Global Desktop, versión 4.6
    Oracle VM Virtual Box, versiones 3.2, 4.0, 4.1
  •  MySQL
    Oracle MySQL Server, versiones 5.1.63 y anteriores, 5.5.25 y anteriores.
  • Java SE
    JDK y JRE 7 Update 7 y anteriores
    JDK y JRE 6 Update 35 y anteriores          
    JDK y JRE 5.0 Update 36 y anteriores
    SDK y JRE 1.4.2_38 y anteriores
  •  Java FXCTXSYS.
    JavaFX 2.2 y anteriores

En resumen las vulnerabilidades pueden considerarse de nivel medio. La mayoría de ellas se catalogan como denegaciones de servicio (Solaris y MySQL sobretodo), mientras que las más elevadas son las que afectan a Java SE.

A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas:

  • Oracle Database Server (5), se corrigen las vulnerabilidades críticas de revelación de credenciales mediante el protocolo de autenticación Oracle, (CVE-2012-3137) y elevación de privilegios a través de "CTXSYS.CONTEXT" (CVE-2012-3132) reportadas por el equipo de TeamSHATTER y que ya comentamos en anteriores una-al-día.
       
  • Oracle Fusion Middleware (26), la más importante una ejecución remota de código en Oracle JRockit (CVE-2012-3202). El resto son de tipo medio-bajo.
       
  • Oracle E-Business Suite (9), relacionadas con revelación de información sensible y salto de restricciones.
        
  • Oracle Supply Chain (9) vulnerabilidades, entre ellas cuatro denegaciones de servicio. Todas se pueden explotar de forma remota, relacionadas también con revelación de información sensible y salto de restricciones.
       
  • Oracle PeopleSoft Products (9), sería necesario autenticación simple en todas ellas para poder explotarlas. Todas tienes un impacto bajo Oracle Siebel CRM (2) y estarían relacionadas con la revelación de información sensible.
       
  • Oracle Industry Applications (2), la vulnerabilidad mas relevante CVE-2012-5066, tendría un CVSS de 6.3 y permitiría un salto de restricciones en Oracle Central Designer.
       
  • Oracle Financial Services Software (13), de nivel medio-bajo, están relacionadas la mayoría con revelación de información sensible o salto de restricciones de manera remota, salvo CVE-2012-3145 que es una vulnerabilidad local.
      
  • Oracle Sun Products Suite (18), la gran mayoría pertenecen a Solaris, siendo las más importantes relacionadas con ejecución arbitraria de código (CVSS 7.2) y denegación de servicio (CVSS 7.8) Oracle Virtualization (2), de bajo nivel y relaciones con la integridad y disponibilidad de los sistemas.
      
  • MySQL (14), todas las vulnerabilidades de tipo remoto excepto la CVE-2012-3160 que es local. La gran mayoría sería del tipo denegación de servicio, salvo dos importantes vulnerabilidades de ejecución remota de código (CVE-2012-3158 y CVE-2012-3163) con CVSS de 7.5 y 9 respectivamente, ésta última sólo en Linux con esa puntuación.
      
  • Java SE (30), es el boletín con vulnerabilidades más importantes ya que se corrigen hasta 10 de tipo ejecución remota de código (críticas): CVE-2012-5083, CVE-2012-1531, CVE-2012-5086, CVE-2012-5087, CVE-2012-1533, CVE-2012-1532, CVE-2012-5076, CVE-2012-3143, CVE-2012-5088 y CVE-2012-5078.

Se recomienda visitar la página oficial con la matriz de sistemas afectados y sus parches.

Más información:

October 2012 Critical Patch Update and Critical Patch Update for Java SE Released

Oracle Critical Patch Update Advisory - October 2012

October 2012 Critical Patch Update for Java SE


José Mesa Orihuela

No hay comentarios:

Publicar un comentario en la entrada