jueves, 21 de enero de 2016

Oracle corrige 248 vulnerabilidades en su actualización de seguridad de enero

Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica su boletín de seguridad de enero. Contiene parches para 248 vulnerabilidades diferentes en múltiples productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL.

Los fallos se dan en varios componentes de los productos:
  • Oracle Database Server, versiones 11.2.0.4, 12.1.0.1 y 12.1.0.2
  • Oracle GoldenGate, versiones 11.2 y 12.1.2
  • Oracle BI Publisher, versiones 11.1.1.7.0, 11.1.1.9.0 y 12.2.1.0.0
  • Oracle Business Intelligence Enterprise Edition, versiones 11.1.1.7.0 y 11.1.1.9.0
  • Oracle Endeca Server, versiones 7.3.0.0, 7.4.0.0, 7.5.0.0 y 7.6.0.0
  • Oracle Fusion Middleware, versiones 10.1.3.5, 11.1.1.7, 11.1.1.8, 11.1.1.9, 11.1.2.2, 11.1.2.3, 12.1.2.0, 12.1.3.0 y 12.2.1
  • Oracle GlassFish Server, versión 3.1.2
  • Oracle Identity Federation, versiones 11.1.1.7 y 11.1.2.2
  • Oracle Outside In Technology, versiones 8.5.0, 8.5.1 y 8.5.2
  • Oracle Tuxedo, versión 12.1.1.0
  • Oracle Web Cache, versiones 11.1.1.7.0 y 11.1.1.9.0
  • Oracle WebCenter Sites, versiones 7.6.2 y 11.1.1.8.0
  • Oracle WebLogic Portal, versión 10.3.6
  • Oracle WebLogic Server, versiones 10.3.6, 12.1.2, 12.1.3 y 12.2.1
  • Enterprise Manager Base Platform, versiones 11.1.0.1, 11.2.0.4, 12.1.0.4 y 12.1.0.5
  • Enterprise Manager Ops Center, versiones prior to 12.1.4, 12.2.0, 12.2.1 y 12.3.0
  • Oracle Application Testing Suite, versiones 12.4.0.2 y 12.5.0.2
  • Application Mgmt Pack for E-Business Suite, versión 12.1, 12.2
  • Oracle E-Business Suite, versiones 11.5.10.2, 12.1, 12.1.1, 12.1.2, 12.1.3, 12.2, 12.2.3, 12.2.4 y 12.2.5
  • Oracle Agile Engineering Data Management, versiones 6.1.2.2, 6.1.3.0 y 6.2.0.0
  • Oracle Agile PLM, versiones 9.3.1.1, 9.3.1.2, 9.3.2 y 9.3.3
  • Oracle Configurator, versiones 11.5.10.2, 12.1 y 12.2
  • PeopleSoft Enterprise HCM Global Payroll Switzerland, versiones 9.1 y 9.2
  • PeopleSoft Enterprise PeopleTools, versiones 8.53, 8.54 y 8.55
  • PeopleSoft Enterprise SCM eProcurement, versiones 9.1 y 9.2
  • PeopleSoft Enterprise SCM Order Management, versiones 9.1 y 9.2
  • PeopleSoft Enterprise SCM Purchasing, versiones 9.1 y 9.2
  • JD Edwards EnterpriseOne Tools, versiones 9.1 y 9.2
  • Oracle iLearning, versiones 6.0 y 6.1
  • Oracle Fusion Applications, versiones 11.1.2 a 11.1.10
  • Oracle Communications Converged Application Server - Service Controller, versión 6.1
  • Oracle Communications EAGLE LNP Application Processor, versión 10.0
  • Oracle Communications Online Mediation Controller, versión 6.1
  • Oracle Communications Service Broker, versiones 6.0 y 6.1
  • Oracle Communications Service Broker Engineered System Edition, versión 6.0
  • MICROS CWDirect, versiones 12.5, 13.0, 14.0, 15.0, 16.0, 17.0 y 18.0
  • Oracle Retail Open Commerce Platform Cloud Service, versiones 3.5, 4.5, 4.7 y 5.0
  • Oracle Retail Order Broker Cloud Service, versiones 4.0 y 4.1.
  • Oracle Retail Order Management System Cloud Service, versiones 3.5, 4.5, 4.7, 5.0 y 15.0
  • Oracle Retail Point-of-Service, versiones 13.4, 14.0 y 14.1
  • Oracle Java SE, versiones 6u105, 7u91 y 8u66
  • Oracle Java SE Embedded, versión 8u65
  • Oracle JRockit, versión R28.3.8
  • Oracle Switch ES1-24, versiones anteriores a 1.3.1.13
  • Solaris, versiones 10 y 11
  • Solaris Cluster, versiones 3.3, 4 y 4.2
  • Sun Blade 6000 Ethernet Switched NEM 24P 10GE, versiones anteriores a 1.2.2.13
  • Sun Network 10GE Switch 72p, versiones anteriores a 1.2.2.15
  • Oracle Secure Global Desktop, versiones 4.63, 4.71 y 5.2
  • Oracle VM VirtualBox, versiones anteriores a 4.0.36, anteriores a 4.1.44, anteriores a 4.2.36, anteriores a 4.3.36 y anteriores a 5.0.14
  • MySQL Server, versiones 5.5.46 y anteriores, 5.6.27 y anteriores y 5.7.9


A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas:

  • Siete nuevas vulnerabilidades corregidas en Oracle Database Server, ninguna explotable remotamente sin autenticación. Afectan a los componentes: Java VM, Workspace Manager, XDB - XML Database, Database Vault, Security, XDB - XML Database y XML Developer's Kit for C. Otras tres vulnerabilidades afectan a Oracle GoldenGate (todas ellas explotables remotamente sin autenticación).
         
  • Otras 27 vulnerabilidades afectan a Oracle Fusion Middleware. 17 de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Oracle WebCenter Sites, Oracle WebLogic Portal, Oracle WebLogic Server, Oracle GlassFish Server, Oracle Business Intelligence Enterprise Edition, Oracle Endeca Server, Oracle Tuxedo, Oracle BI Publisher, Web Cache, Oracle Identity Federation y Oracle Outside In Technology.     
  • Esta actualización contiene 33 nuevas actualizaciones de seguridad para Oracle Enterprise Manager Grid Control, 23 de ellas explotables remotamente sin autenticación.
         
  • Dentro de Oracle Applications, 78 parches son para Oracle E-Business Suite, cinco parches son para la suite de productos Oracle Supply Chain, 11 para productos Oracle PeopleSoft, 7 para Oracle JD Edwards Products y uno para Oracle iLearning.
          
  • De forma similar dentro de la gama de aplicaciones Oracle Industry, cinco para Oracle Industry Applications y nueve para Oracle Retail Applications.
          
  • En lo referente a Oracle Java SE se incluyen ocho nuevos parches de seguridad, siete de ellos referentes a vulnerabilidades que podrían ser explotadas por un atacante remoto sin autenticar.
         
  • Para la suite de productos Oracle Sun Systems se incluyen 23 nuevas actualizaciones, siete de ellas afectan a Solaris.
         
  • 22 nuevas vulnerabilidades afectan a MySQL Server (solo una de ellas podría ser explotada por un atacante remoto sin autenticar).
          
  • Esta actualización también contiene un parche para para Oracle Virtualization.


Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial en:
Oracle Critical Patch Update Advisory - January 2016

Más información:

Oracle Critical Patch Update Advisory - January 2016



Antonio Ropero
Twitter: @aropero

No hay comentarios:

Publicar un comentario en la entrada