lunes, 23 de octubre de 2017

Oracle corrige 252 vulnerabilidades en su boletín de octubre

Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica su boletín de seguridad de octubre. Contiene parches para 252 vulnerabilidades diferentes, en múltiples productos y de diferentes familias: desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL, e incluso hardware, como las series M de los servidores Fujitsu.


Los fallos se dan en varios componentes de múltiples productos y como es habitual la lista completa de productos afectados es cada vez más extensa. Se concreta en las siguientes familias:
  • Oracle and Sun Systems Products Suite
  • Oracle Communications Billing and Revenue Management
  • Oracle Communications Diameter Signaling Router
  • Oracle Communications EAGLE LNP Application Processor
  • Oracle Communications Messaging Server
  • Oracle Communications Order and Service Management
  • Oracle Communications Policy Management
  • Oracle Communications Services Gatekeeper
  • Oracle Communications Unified Session Manager
  • Oracle Communications User Data Repository
  • Oracle Communications WebRTC Session Controller
  • Oracle Construction and Engineering Suite
  • Oracle Database
  • Oracle E-Business Suite
  • Oracle Enterprise Manager
  • Oracle Financial Services Applications
  • Oracle Fusion Applications
  • Oracle Fusion Middleware
  • Oracle Health Sciences
  • Oracle Hospitality Cruise AffairWhere
  • Oracle Hospitality Cruise Fleet Management
  • Oracle Hospitality Cruise Materials Management
  • Oracle Hospitality Cruise Shipboard Property Management System
  • Oracle Hospitality Guest Access
  • Oracle Hospitality Hotel Mobile
  • Oracle Hospitality OPERA 5 Property Services
  • Oracle Hospitality Reporting and Analytics
  • Oracle Hospitality Simphony
  • Oracle Hospitality Suite8
  • Oracle Java SE
  • Oracle JD Edwards
  • Oracle Linux and Virtualization
  • Oracle MySQL Product Suite
  • Oracle PeopleSoft
  • Oracle Retail Applications
  • Oracle Siebel
  • Oracle Supply Chain Products
  • Oracle Tekelec HLR Router
A continuación, ofrecemos una relación de productos y el número de vulnerabilidades corregidas: 
  • Oracle Database ha corregido 6 vulnerabilidades, dos de ellas de ejecución remota de código.
  • 23 parches han sido publicados para Oracle Communications Applications, 18 de ellas permitían la explotación remota, por parte de un atacante sin autenticar.
  • Oracle Construction and Engineering Suite ha corregido una vulnerabilidad crítica en Primavera Unifier.
  • En cambio, Oracle E-Business Suite ha solucionado 26 vulnerabilidades, 25 de ellas explotables sin autenticación.
  • En Oracle Enterprise Manager Grid Control también se ha solucionado otra vulnerabilidad crítica de ejecución de código.
  • Oracle FLEXCUBE, que forma parte de la familia Financial Services Applications, ha recibido un parche para solucionar una vulnerabilidad de grado medio.
  • Otro paquete numeroso de parches, lo ha recibido Oracle Fusion Middleware, solucionando 40 vulnerabilidades, siendo críticas 26, que permitirían la explotación remota sin autenticar.
  • Oracle Health Sciences Applications ha corregido una vulnerabilidad de ejecución de código remoto.
  • El otro gran paquete de actualizaciones ha sido asignado para Oracle Hospitality Applications, con 37 correcciones realizadas, siendo 13 de los parches por explotación remota sin autenticar.
  • Hyperion también ha sido actualizado, viéndose afectado por 4 vulnerabilidades.
  • En este boletín, Oracle Java SE ha recibido 22 parches, 20 de ellos con explotación remota.
  • Otras 2 vulnerabilidades han sido corregidas en Oracle JD Edwards, afectando al componente OpenSSL.
  • Para Oracle MySQL se han publicado 25 nuevos parches, 6 de ellos remotamente explotables.
  • Oracle PeopleSoft también ha sido actualizado, corrigiendo 23 vulnerabilidades.
  • 9 vulnerabilidades han sido corregidas en Oracle Retail, 6 de ellas explotables remotamente.
  • Oracle Siebel CRM ha publicado 8 nuevos parches.
  • Para la suite Oracle Sun Systems Products, se han solucionado 10 nuevas vulnerabilidades, afectando a Solaris Cluster y varias familias de servidores, entre otros los modelos SPARC (M3000, M4000, M5000, M8000, M9000) y Fujitsu (M10-1, M10-4, M10-4S, M12-1, M12-2, M12-2S).
  • Oracle Supply Chain Products Suite, 7 vulnerabilidades han sido solucionadas.
  • Y finalmente, para Oracle Virtualization, 6 parches han sido publicados, en concreto 5 para VirtualBox.

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial del boletín de Octubre.


José Mesa
@jsmesa

Más información:

Critical Patch Update - October 2017: