miércoles, 20 de julio de 2016

Oracle corrige 276 vulnerabilidades en su actualización de seguridad de julio

Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica su boletín de seguridad de julio. Contiene parches para 276 nuevas vulnerabilidades diferentes en múltiples productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL.

La gran cantidad de problemas corregidos, que en esta ocasión se eleva a las 276 vulnerabilidades, convierte a este boletín de seguridad como el más numeroso de todos los publicados por Oracle hasta la fecha. Los fallos se dan en varios componentes de múltiples productos: 
  • Application Express, versiones anteriores a 5.0.4
  • Oracle Database Server, versiones 11.2.0.4, 12.1.0.1 y 12.1.0.2
  • Oracle Access Manager, versiones 10.1.4.x y 11.1.1.7
  • Oracle BI Publisher, versiones 11.1.1.7.0, 11.1.1.9.0 y 12.2.1.0.0
  • Oracle Business Intelligence Enterprise Edition, versiones 11.1.1.7.0, 11.1.1.9.0 y 11.2.1.0.0
  • Oracle Directory Server Enterprise Edition, versiones 7.0 y 11.1.1.7.0
  • Oracle Exalogic Infrastructure, versiones 1.x, 2.x
  • Oracle Fusion Middleware, versiones 11.1.1.7, 11.1.1.8, 11.1.1.9, 11.1.2.2, 11.1.2.3, 12.1.3.0 y 12.2.1.0
  • Oracle GlassFish Server, versiones 2.1.1, 3.0.1 y 3.1.2
  • Oracle HTTP Server, versiones 11.1.1.9 y 12.1.3.0
  • Oracle JDeveloper, versiones 11.1.1.7.0, 11.1.1.9.0, 11.1.2.4.0, 12.1.3.0.0 y 12.2.1.0.0
  • Oracle Portal, versión 11.1.1.6
  • Oracle TopLink, versiones 12.1.3.0, 12.2.1.0 y 12.2.1.1
  • Oracle WebCenter Sites, versiones 11.1.1.8 y 12.2.1.0
  • Oracle WebLogic Server, versiones 10.3.6.0, 12.1.3.0 y 12.2.1.0
  • Outside In Technology, versiones 8.5.0, 8.5.1 y 8.5.2
  • Hyperion Financial Reporting, versión 11.1.2.4
  • Enterprise Manager Base Platform, versiones 12.1.0.5 y 13.1.0.0
  • Enterprise Manager for Fusion Middleware, versiones 11.1.1.7 y 11.1.1.9
  • Enterprise Manager Ops Center, versiones 12.1.4, 12.2.2 y 12.3.2
  • Oracle E-Business Suite, versiones 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4 y 12.2.5
  • Oracle Agile Engineering Data Management, versiones 6.1.3.0 y 6.2.0.0
  • Oracle Agile PLM, versiones 9.3.4 y 9.3.5
  • Oracle Demand Planning, versiones 12.1 y 12.2
  • Oracle Transportation Management, versiones 6.3.0, 6.3.1, 6.3.2, 6.3.3, 6.3.4, 6.3.5, 6.3.6, 6.3.7, 6.4.0 y 6.4.1
  • PeopleSoft Enterprise FSCM, versiones 9.1 y 9.2
  • PeopleSoft Enterprise PeopleTools, versiones 8.53, 8.54 y 8.55
  • JD Edwards EnterpriseOne Tools, versión 9.2.0.5
  • Oracle Knowledge, versión 8.5.x
  • Siebel Applications, versiones 8.1.1, 8.2.2, IP2014, IP2015 y IP2016
  • Oracle Fusion Applications, versiones 11.1.2 hasta 11.1.10
  • Oracle Communications ASAP, versiones 7.0, 7.2 y 7.3
  • Oracle Communications Core Session Manager, versiones 7.2.5 y 7.3.5
  • Oracle Communications EAGLE Application Processor, versión 16.0
  • Oracle Communications Messaging Server, versiones 6.3, 7.0, 8.0, anteriores a 7.0.5.37.0 y 8.0.1.1.0
  • Oracle Communications Network Charging and Control, versiones 4.4.1.5.0, 5.0.0.1.0, 5.0.0.2.0, 5.0.1.0.0 y 5.0.2.0.0
  • Oracle Communications Operations Monitor, versiones anteriores a 3.3.92.0.0
  • Oracle Communications Policy Management, versiones anteriores a 9.9.2
  • Oracle Communications Session Border Controller, versiones 7.2.0 y 7.3.0
  • Oracle Communications Unified Session Manager, versiones 7.2.5 y 7.3.5
  • Oracle Enterprise Communications Broker, versiones anteriores a PCz 2.0.0m4p1
  • Oracle Banking Platform, versiones 2.3.0, 2.4.0, 2.4.1 y 2.5.0
  • Oracle Financial Services Lending and Leasing, versiones 14.1 y 14.2
  • Oracle FLEXCUBE Direct Banking, versiones 12.0.1, 12.0.2 y 12.0.3
  • Oracle Health Sciences Clinical Development Center, versiones 3.1.1.x y 3.1.2.x
  • Oracle Health Sciences Information Manager, versiones 1.2.8.3, 2.0.2.3 y 3.0.1.0
  • Oracle Healthcare Analytics Data Integration, versión 3.1.0.0.0
  • Oracle Healthcare Master Person Index, versiones 2.0.12, 3.0.0 y 4.0.1
  • Oracle Documaker, versiones anteriores a 12.5
  • Oracle Insurance Calculation Engine, versiones 9.7.1, 10.1.2 y 10.2.2
  • Oracle Insurance Policy Administration J2EE, versiones 9.6.1, 9.7.1, 10.0.1, 10.1.2, 10.2.0 y 10.2.2
  • Oracle Insurance Rules Palette, versiones 9.6.1, 9.7.1, 10.0.1, 10.1.2, 10.2.0 y 10.2.2
  • MICROS Retail XBRi Loss Prevention, versiones 10.0.1, 10.5.0, 10.6.0, 10.7.0, 10.8.0 y 10.8.1
  • Oracle Retail Central, Back Office, Returns Management, versiones 13.1, 13.2, 13.3, 13.4, 14.0, 14.1, 12.0 y 13.0
  • Oracle Retail Integration Bus, versiones 13.0, 13.1, 13.2, 14.0, 14.1 y 15.0
  • Oracle Retail Order Broker, versiones 4.1, 5.1, 5.2 y 15.0
  • Oracle Retail Service Backbone, versiones 13.0, 13.1, 13.2, 14.0, 14.1 y 15.0
  • Oracle Retail Store Inventory Management, versiones 12.0, 13.0, 13.1, 13.2, 14.0 y 14.1
  • Oracle Utilities Framework, versiones 2.2.0.0.0, 4.1.0.1.0, 4.1.0.2.0, 4.2.0.1.0, 4.2.0.2.0, 4.2.0.3.0, 4.3.0.1.0 y 4.3.0.2.0
  • Oracle Utilities Network Management System, versiones 1.10.0.6.27, 1.11.0.4.41, 1.11.0.5.4, 1.12.0.1.16, 1.12.0.2.12 y 1.12.0.3.5
  • Oracle Utilities Work and Asset Management, versión 1.9.1.2.8
  • Oracle In-Memory Policy Analytics, versión 12.0.1
  • Oracle Policy Automation, versiones 10.3.0, 10.3.1, 10.4.0, 10.4.1, 10.4.2, 10.4.3, 10.4.4, 10.4.5, 10.4.6, 12.1.0 y 12.1.1
  • Oracle Policy Automation Connector for Siebel, versiones 10.3.0, 10.4.0, 10.4.1, 10.4.2, 10.4.3, 10.4.4, 10.4.5 y 10.4.6
  • Oracle Policy Automation for Mobile Devices, versión 12.1.1
  • Primavera Contract Management, versión 14.2
  • Primavera P6 Enterprise Project Portfolio Management, versiones 8.2, 8.3, 8.4, 15.1, 15.2 y 16.1
  • Oracle Java SE, versiones 6u115, 7u101 y 8u92
  • Oracle Java SE Embedded, versión 8u91
  • Oracle JRockit, versión R28.3.10
  • 40G 10G 72/64 Ethernet Switch, versión 2.0.0
  • Fujitsu M10-1, M10-4, M10-4S Servers, versiones anteriores a XCP 2320
  • ILOM, versiones 3.0, 3.1 y 3.2
  • Oracle Switch ES1-24, versión 1.3
  • Solaris, versiones 10 y 11.3
  • Solaris Cluster, versiones 3.3 y 4.3
  • SPARC Enterprise M3000, M4000, M5000, M8000, M9000 Servers y versiones anteriores a XCP 1121
  • Sun Blade 6000 Ethernet Switched NEM 24P 10GE, versión 1.2
  • Sun Data Center InfiniBand Switch 36, versiones anteriores a 2.2.2
  • Sun Network 10GE Switch 72p, versión 1.2
  • Sun Network QDR InfiniBand Gateway Switch, versiones anteriores a 2.2.2
  • Oracle Secure Global Desktop, versiones 4.63, 4.71 y 5.2
  • Oracle VM VirtualBox, versiones anteriores a 5.0.26
  • MySQL Server, versiones 5.5.49 y anteriores, 5.6.30 y anteriores, 5.7.12 y anteriores

A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas:
  • Nueve nuevas vulnerabilidades corregidas en Oracle Database Server, cinco de ellas explotables remotamente sin autenticación. Afectan a los componentes: OJVM, JDBC, Portable Clusterware, Data Pump Import, Application Express, RDBMS, DB Sharding y Database Vault.
        
  • Otras 40 vulnerabilidades afectan a Oracle Fusion Middleware. 35 de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: BI Publisher (formerly XML Publisher), Oracle Access Manager, Oracle Business Intelligence Enterprise Edition, Oracle Directory Server Enterprise Edition, Oracle Exalogic Infrastructure, Oracle GlassFish Server, Oracle HTTP Server, Oracle JDeveloper, Oracle Portal, Oracle TopLink, Oracle WebCenter Sites y Outside In Technology.
          
  • Esta actualización contiene 10 nuevas actualizaciones de seguridad para Oracle Enterprise Manager Grid Control, siete de ellas explotables remotamente sin autenticación. Afectan a Enterprise Manager Base Platform, Enterprise Manager for Fusion Middleware y Enterprise Manager Ops Center.
          
  • Dentro de Oracle Applications, 23 parches son para Oracle E-Business Suite, 25 parches son para la suite de productos Oracle Supply Chain, 7 para productos Oracle PeopleSoft, uno para productos Oracle JD Edwards y 16 para Oracle Siebel CRM.
          
  • Se incluyen también 16 nuevos parches para Oracle Communications Applications, 10 de ellos tratan vulnerabilidades explotables remotamente sin autenticación. De forma similar 5 nuevas correcciones para Oracle Health Sciences Applications, aunque solo una de ellas podría ser explotable remotamente sin autenticación. También incluyen ocho parches para Oracle Insurance Applications, aunque ninguna de las vulnerabilidades es explotable remotamente sin autenticación.
         
  • Esta actualización contiene 16 nuevas actualizaciones de seguridad para Oracle Retail Applications, seis de ellas explotables remotamente sin autenticación. Otras tres actualizaciones para Oracle Utilities Applications, cuatro para Oracle Policy Automation y 15 para la suite de productos Oracle Primavera.
          
  • También se incluyen cuatro nuevos parches de seguridad para software Oracle Financial Services. Tres de las vulnerabilidades podrían explotarse de forma remota sin autenticación.
          
  • En lo referente a Oracle Java SE se incluyen 13 nuevos parches de seguridad, nueve referentes a vulnerabilidades que podrían ser explotadas por un atacante remoto sin autenticar.
          
  • Para la suite de productos Oracle Sun Systems se incluyen 34 nuevas actualizaciones, ocho de ellas afectan directamente a Solaris.
         
  • 22 nuevas vulnerabilidades afectan a MySQL Server (tres de ellas podrían ser explotada por un atacante remoto sin autenticar).
          
  • Esta actualización también contiene cuatro parches para Oracle Linux y Virtualización y otro para Oracle Hyperion.


Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial en:
Oracle Critical Patch Update Advisory – July 2016

Más información:

Oracle Critical Patch Update Advisory - July 2016



Antonio Ropero

Twitter: @aropero

No hay comentarios:

Publicar un comentario en la entrada