jueves, 18 de enero de 2018

Oracle corrige 237 vulnerabilidades en su boletín de enero

Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica su boletín de seguridad de enero. Contiene parches para 237 vulnerabilidades diferentes, en múltiples productos y de diferentes familias: algunas de ellas podrían permitir a un atacante remoto sin autenticar hacerse con el control del sistema en el caso de MySQL Enterprise Monitor, por ejmplo y llevar a cabo una denegación de servicio en MySQL Server.





Los fallos se dan en varios componentes de múltiples productos y como es habitual la lista completa de productos afectados es cada vez más extensa. Se concreta en las siguientes familias:

  • Application Express, versiones anteriores a 5.1.4.00.08
  • Agile Material y Equipment Management for Pharmaceuticals, versiones 9.3.3, 9.3.4
  • Converged Commerce, versión 16.0.1
  • Hyperion BI+, versión 11.1.2.4
  • Hyperion Data Relationship Management, versión 11.1.2.4.330
  • Integrated Lights Out Manager (ILOM), versiones 3.x, 4.x
  • Java Advanced Management Console, versión 2.8
  • Java ME SDK, versión 8.3
  • JD Edwards EnterpriseOne Tools, versión 9.2
  • MICROS Handheld Terminal, versiones anteriores a BSP 02.13.0701 (070116)
  • MICROS Relate CRM Software, versiones 10.8.x, 11.4.x, 15.0.x
  • MICROS Retail XBRi Loss Prevention, versiones 10.0.1, 10.5.0, 10.6.0, 10.7.0, 10.8.0, 10.8.1
  • MySQL Connectors, versiones 5.3.9, 6.9.9, 6.10.4 y sus versiones anteriores.
  • MySQL Enterprise Monitor, versiones 3.3.6.3293, 3.4.4.4226, 4.0.0.5135 y sus versiones anteriores.
  • MySQL Server, versions 5.5.58, 5.6.38, 5.7.20 y sus versiones anteriores.
  • Oracle Access Manager, versiones 10.1.4.3.0, 11.1.2.3.0
  • Oracle Agile Engineering Data Management, PLM, PLM MCAD
  • Oracle Argus Safety, versiones 7.x, 8.0.x, 8.1
  • Oracle Autovue for Agile Product Lifecycle Management, versiones 21.0.0, 21.0.1
  • Oracle Banking Corporate Lending, versiones 12.3.0, 12.4.0
  • Oracle Banking Payments, versiones 12.3.0, 12.4.0
  • Oracle Business Intelligence Enterprise Edition, versiones 11.1.1.7.0, 11.1.1.9.0, 12.2.1.2.0, 12.2.1.3.0
  • Oracle Communications
  • Oracle Database Server, versiones 11.2.0.4, 12.1.0.2, 12.2.0.1
  • Oracle Directory Server Enterprise Edition, versión 11.1.1.7.0
  • Oracle E-Business Suite, versiones 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4, 12.2.5, 12.2.6, 12.2.7
  • Oracle Endeca Information Discovery Integrator, versiones 3.1.0, 3.2.0
  • Oracle Financial Services
  • Oracle FLEXCUBE
  • Oracle Fusion Applications, versiones 11.1.2 hasta la 11.1.9
  • Oracle Fusion Middleware, versiones 11.1.1.7, 11.1.1.9, 11.1.2.3, 12.1.3.0, 12.2.1.2, 12.2.1.3
  • Oracle Health Sciences Empirica
  • Oracle Hospitality
  • Oracle HTTP Server, versiones 11.1.1.7.0, 11.1.1.9.0, 12.1.3.0.0, 12.2.1.2.0, 12.2.1.3.0
  • Oracle Hyperion Planning, versión 11.1.2.4.007
  • Oracle Identity Manager
  • Oracle Internet Directory, versiones 11.1.1.7.0, 11.1.1.9.0, 12.2.1.3.0
  • Oracle iPlanet Web Server, versión 7.0
  • Oracle Java SE, versiones 6u171, 7u161, 8u152, 9.0.1
  • Oracle Java SE Embedded, versión 8u151
  • Oracle JDeveloper, versions 11.1.1.2.4, 11.1.1.7.0, 11.1.1.7.1, 11.1.1.9.0, 11.1.2.4.0, 12.1.3.0.0, 12.2.1.2.0
  • Oracle JRockit, versión R28.3.16
  • Oracle Mobile Security Suite, versión 3.0.1
  • Oracle Retail Assortment Planning, versión 14.1.3, 15.0.3, 16.0.1
  • Oracle Retail Convenience y Fuel POS Software, versión 2.1.132
  • Oracle Retail Customer Management y Segmentation Foundation, versiones 10.8.x, 11.4.x, 15.0.x, 16.0.x
  • Oracle Retail Fiscal Management, versión 14.1
  • Oracle Retail Merchandising System, versión 16.0
  • Oracle Retail Workforce Management, versiones 1.60.7, 1.64.0
  • Oracle Secure Global Desktop (SGD), versión 5.3
  • Oracle Transportation Management, versiones 6.2.11, 6.3.1, 6.3.2, 6.3.3, 6.3.4, 6.3.5, 6.3.6, 6.3.7, 6.4.1, 6.4.2, 6.4.3
  • Oracle Tuxedo System and Applications Monitor, versión 12.1.3.0.0
  • Oracle VM VirtualBox, versiones anteriores a 5.1.32, y 5.2.6
  • Oracle WebCenter Content, Portal, Sites y Server
  • Oracle X86 Servers, versiones SW 1.x, SW 2.x
  • OSS Support Tools, versiones anteriores a 2.11.33
  • PeopleSoft Enterprise FIN, FSCM, HCM, PRTL, SCM y PeopleTools
  • Primavera Unifier, versions 10.x, 15.x, 16.x, 17.x
  • Siebel Applications, versions 16.0, 17.0
  • Solaris, versiones 10, 11.3
  • Sun ZFS Storage Appliance Kit (AK), versiones anteriores a 8.7.13
A parte del listado comentado anteriormente, cabe destacar dos vulnerabilidades en el motor de base de datos MySQL:

La primera de ellas, CVE-2017-12617, para MySQL Enterprise Monitor, podría permitir a un usuario remoto sin autenticar hacerse con el control del sistema de base de datos.

La segunda de ellas, con el CVE-2018-2703, afectaría al plugin de autenticación sha256_password, y podría habilitar a un atacante remoto llevar a cabo una denegación de servicio en la fase de autenticación a través de un password especialmente grande.

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial del boletín de Enero.



Más información:

Critical Patch Update - January 2018:
http://www.oracle.com/technetwork/security-advisory/cpujan2018-3236628.html

My Oracle Support Note 209768.1 (Acceso para usuarios registrados): https://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=209768.1