Oracle ha publicado una serie de parches para solventar 85
vulnerabilidades detectadas en una larga lista de productos de la
compañía. Varias de ellas tienen impacto desconocido, y otras pueden
ser explotadas para realizar ataques de inyección PL/SQL, cross site
scripting, e incluso compromiso de sistemas afectados.

La lista detallada de productos y versiones afectadas por al menos una
de las vulnerabilidades es la siguiente:
* Oracle Database Server 10g Release 1, versiones 10.1.0.3, 10.1.0.4
* Oracle9i Database Server Release 2, versiones 9.2.0.5, 9.2.0.6,
9.2.0.7
* Oracle8i Database Server Release 3, versión 8.1.7.4
* Oracle Enterprise Manager 10g Grid Control, versiones 10.1.0.3,
10.1.0.4
* Oracle Application Server 10g Release 2, versiones 10.1.2.0.0,
10.1.2.0.1, 10.1.2.0.2
* Oracle Application Server 10g Release 1 (9.0.4), versiones 9.0.4.1,
9.0.4.2
* Oracle Collaboration Suite 10g Release 1, versión 10.1.1
* Oracle9i Collaboration Suite Release 2, versión 9.0.4.2
* Oracle E-Business Suite Release 11i, versiones de la 11.5.1 a la
11.5.10 y 11.5.10 CU2
* Oracle E-Business Suite Release 11.0
* Oracle Clinical, versiones 4.5.0 y 4.5.1
* PeopleSoft Enterprise Tools, versiones de la 8.1 a la 8.46.03
* PeopleSoft CRM, versiones de la 8.81 a la 8.9
* JD Edwards EnterpriseOne, OneWorld XE, versiones 8.95_B1, 8.94_Q1,
SP23_K1
* Oracle Database Server 10g Release 1, versión 10.1.0.4.2
* Oracle Developer Suite, versiones 9.0.2.1, 9.0.4.1, 9.0.4.2,
10.1.2.0
* Oracle Enterprise Manager Application Server Control, versiones
9.0.4.1, 9.0.4.2
* Oracle Enterprise Manager 10g Database Control, versiones 10.1.0.3,
10.1.0.4
* Oracle Workflow, versiones de la 11.5.1 a la 11.5.9.5
* Oracle9i Database Server Release 1, versiones 9.0.1.4, 9.0.1.5,
9.0.1.5 FIPS
* Oracle8 Database Server Release 8.0.6, versión 8.0.6.3
* Oracle9i Application Server Release 2, versiones 9.0.2.3, 9.0.3.1
* Oracle9i Application Server Release 1, versión 1.0.2.2

La compañía apenas ha publicado detalles al respecto de la enorme
lista de vulnerabilidades, con la excepción de un par de ellas:
* Una vulnerabilidad de desbordamiento de búffer y 17 de inyección
PL/SQL se han detectado en Oracle Database 10g y Oracle9i Database
Server.
* Ciertas entradas dadas a ‘test.jps’ de Oracle Reports Server no es
filtrado adecuadamente antes de ser devuelto al usuario. Esto puede
ser explotado para ejecutar código HTML y script arbitrario en el
navegador del usuario con el contexto del sitio afectado.

Se recomienda aplicar los parches detallados en su alerta oficial
(restringida a clientes):
http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=333954.1

La próxima actualización de productos Oracle no se realizará hasta
el 17 de enero de 2006.

Julio Canto
jcanto@hispasec.com

Más información:

Oracle Critical Patch Update – October 2005
http://www.oracle.com/technology/deploy/security/pdf/cpuoct2005.html

Compártelo: