Oracle ha publicado un conjunto de 82 parches para diversos productos
de la casa que solventan una larga lista de vulnerabilidades sobre las
que apenas han dado detalles concretos.
La lista de productos afectados es la siguiente:
* Oracle Database 10g Release 2, versión 10.2.0.1
* Oracle Database 10g Release 1, versiones 10.1.0.3, 10.1.0.4, 10.1.0.5
* Oracle9i Database Release 2, versiones 9.2.0.6, 9.2.0.7
* Oracle8i Database Release 3, versión 8.1.7.4
* Oracle Enterprise Manager 10g Grid Control, versiones 10.1.0.3,
10.1.0.4
* Oracle Application Server 10g Release 2, versiones 10.1.2.0.0,
10.1.2.0.1, 10.1.2.0.2, 10.1.2.1.0
* Oracle Application Server 10g Release 1 (9.0.4), versiones 9.0.4.1,
9.0.4.2
* Oracle Collaboration Suite 10g Release 1, versiones 10.1.1, 10.1.2
* Oracle9i Collaboration Suite Release 2, versión 9.0.4.2
* Oracle E-Business Suite Release 11i, versiones 11.5.1 a 11.5.10 CU2
* Oracle E-Business Suite Release 11.0
* PeopleSoft Enterprise Portal, versiones 8.4, 8.8, 8.9
* JD Edwards EnterpriseOne Tools, OneWorld Tools, versiones 8.95.F1,
SP23_L1
* Oracle Database 10g Release 1, versión 10.1.0.4.2
* Oracle Developer Suite, versiones 6i, 9.0.2.1, 9.0.4.1, 9.0.4.2,
10.1.2.0
* Oracle Workflow, versiones de la 11.5.1 a la 11.5.9.5
* Oracle9i Database Release 1, versiones 9.0.1.4, 9.0.1.5, 9.0.1.5 FIPS
* Oracle8 Database Release 8.0.6, versiones 8.0.6.3
* Oracle9i Application Server Release 1, versiones 1.0.2.2
En el anuncio oficial de la compañía, si se han dado detalles de tres
vulnerabilidades que afectan sólo a clientes (no a máquinas con los
servidores propiamente dichos):
* Una está localizada en una utilidad que puede ser forzada a que
termine su ejecución, potencialmente permitiendo la ejecución remota
de código arbitrario. La utilidad no se instala con privilegios
setuid, por lo que el riesgo de que sea explotada de forma efectiva es
bajo.
* Otro de los problemas permite a los clientes JDBC para conectarse a
servidores OID configurados para rechazar conexiones anónimas
* Otro está relacionado con los pipes con nombre de Windows. La
vulnerabilidad es sólo explotable si el atacante es capaz de crear un
pipe con nombre que se use para comunicación con un servidor remoto de
base de datos que también corra con Windows.
Para comprobar las matrices de productos afectados, comprobar la
notificación oficial:
* Oracle Critical Patch Update – January 2006
http://www.oracle.com/technology/deploy/security/pdf/cpujan2006.html
* Critical Patch Update – January 2006 Documentation Map
http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=343383.1
* Critical Patch Update – January 2006 FAQ
http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=343391.1
jcanto@hispasec.com
Más información:
Oracle Critical Patch Update – January 2006
http://www.oracle.com/technology/deploy/security/pdf/cpujan2006.html
Critical Patch Update – January 2006 Documentation Map
http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=343383.1
Critical Patch Update – January 2006 FAQ
http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=343391.1
Deja una respuesta