Oracle ‘sorprendió’ hace unos meses con un polémico comunicado en el
que anunciaba que su nueva política de publicación de actualizaciones
sería trimestral. Dejando aparte lo inteligente o conveniente de dicha
política para los administradores de sistemas afectados, ha sido fiel a
dicho anuncio y ha publicado 23 avisos de vulnerabilidades que han
sido detectadas en gran cantidad de productos de su compañía.
Si bien la mayor parte de las vulnerabilidades descubiertas permiten
el acceso a información sensible y la manipulación de datos, otras
permitirían también realizar ataques de inyección PL/SQL, denegación
de servicio o escalada de privilegios.
La compañía aplica el adjetivo potencial a la mayor parte de las
vulnerabilidades y especifica en gran cantidad de ellas requisitos
como permisos de ejecución sobre determinados paquetes, o estar
en una sesión válida.
En resumen, los componentes afectados (que no las vulnerabilidades
individuales) serían los siguientes, con sus vulnerabilidades asociadas:
* Networking (DoS)
* LOB Access (AIS)
* Spatial (AIS, MdI, DoS)
* UTL_FILE (MdI)
* Diagnostic (AIS, MdI, DoS)
* XDB (AIS, MdI)
* Dataguard (AIS, MdI)
* Log Miner (AIS, MdI)
* OLAP (AIS, MdI)
* Data Mining (AIS, MdI)
* Advanced Queuing (AIS, MdI)
* Change Data Capture (AIS, MdI)
* Database Core (AIS, MdI)
* OHS (AIS, MdI)
* Report Server (AIS, MdI)
* Forms (DoS)
* mod_plsql (AIS, MdI)
* Calendar (AIS, MdI, DoS)
Adicionalmente, se han detectado también errores en Oracle E-Business
Suite que podrían ser explotados para acceder a información sensible o
manipularla.
Los acrónimos usados para simplificar la enumeración son los siguientes:
AIS: Acceso a información sensible
MdI: Manipulación de información
DoS: Denegación de servicio
Los productos afectados por estas vulnerabilidades serían los siguientes:
* Oracle8 Database Release 8.0.6 (versión 8.0.6.3)
* Oracle8i Database Server Release 3 (versión 8.1.7.4)
* Oracle9i Database Server Release 1 (versiones 9.0.1.4, 9.0.1.5 y 9.0.4)
* Oracle9i Database Server Release 2 (versiones 9.2.0.4, 9.2.0.5 y 9.2.0.6)
* Oracle9i Application Server Release 1 (versión 1.0.2.2)
* Oracle9i Application Server Release 2 (versiones 9.0.2.3 y 9.0.3.1)
* Oracle Database 10g Release 1 (versiones 10.1.0.2, 10.1.0.3 y 10.1.0.3.1)
* Oracle Application Server 10g (9.0.4, versiones 9.0.4.0 y 9.0.4.1)
* Oracle Application Server 10g Release 2 (10.1.2)
* Oracle Collaboration Suite Release 2 (version 9.0.4.2)
* Oracle E-Business Suite and Applications Release 11i (11.5)
* Oracle E-Business Suite and Applications Release 11.0
El enlace para acceder a las actualizaciones pertinentes según
plataforma es el siguiente:
http://metalink.oracle.com/metalink/plsql/showdoc?db=NOT&id=293953.1
Tras esto, sólo recordar que las fechas programadas para repetir este
tipo de publicación son 12 de abril, 12 de julio y 18 de octubre.
jcanto@hispasec.com
Más información:
Oracle:
http://otn.oracle.com/deploy/security/pdf/cpu-jan-2005_advisory.pdf
NGS Software:
http://www.nextgenss.com/advisories/oracle-02.txt
Pete Finnigan:
http://www.petefinnigan.com/directory_traversal.pdf
Red Database Security:
http://www.red-database-security.com/content6.html
Oracle publicará sus parches de forma trimestral
http://www.hispasec.com/unaaldia/2217
Deja una respuesta