Oracle ha publicado un conjunto de cincuenta parches para diversos productos de la casa que solventan una larga lista de vulnerabilidades sobre las que apenas han dado detalles concretos.

Las consecuencias son que atacantes locales y remotos pueden provocar denegaciones de servicio, ejecutar código arbitrario, tener acceso de escritura y lectura a datos sensibles, perpetrar ataques de inyección SQL y eludir restricciones de seguridad. Los fallos se dan en varios componentes de los productos.

La lista de productos afectados es la siguiente:
* Oracle Database 10g Release 2, versiones 10.2.0.1, 10.2.0.2, 10.2.0.3
* Oracle Database 10g Release 1, versiones 10.1.0.3, 10.1.0.4, 10.1.0.5
* Oracle9i Database Release 2, versiones 9.2.0.5, 9.2.0.6, 9.2.0.7,
9.2.0.8
* Oracle9i Database Release 1, versiones 9.0.1.4, 9.0.1.5, 9.0.1.5 FIPS
* Oracle8i Database Release 3, versión 8.1.7.4
* Oracle Identity Management 10g, versión 10.1.4.0.1
* Oracle Application Server 10g Release 3, versiones 10.1.3.0.0,
10.1.3.1.0
* Oracle Application Server 10g Release 2, versiones 10.1.2.0.0 –
10.1.2.0.2, 10.1.2.1.0, 10.1.2.2.0
* Oracle Application Server 10g, versiones 9.0.4.1, 9.0.4.2, 9.0.4.3
* Oracle9i Application Server Release 2, versión 9.0.2.3
* Oracle9i Application Server Release 1, versión 1.0.2.2
* Oracle Enterprise Manager 10g Grid Control Release 2, versión
10.2.0.1
* Oracle Enterprise Manager 10g Grid Control Release 1, versiones
10.1.0.3, 10.1.0.4, 10.1.0.5
* Oracle E-Business Suite Release 11i, versiones 11.5.7 – 11.5.10 CU2
* Oracle E-Business Suite Release 11.0
* Oracle PeopleSoft Enterprise PeopleTools versiones 8.22, 8.47, 8.48
* Oracle Developer Suite, versiones 6i, 9.0.4.3, 10.1.2.0.2

De las más de 50 correcciones:

* 17 afectan a Oracle Database y 1 de ellas no requiere un usuario y contraseña válidos para poder ser aprovechadas.

* 9 afectan a Oracle HTTP Server, 8 de las cuales son aprovechables de forma remota sin necesidad de autenticación.

* 12 afectan a Oracle HTTP Server, y 8 son aprovechables remotamente sin necesidad de autenticación.

* 14 vulnerabilidades de Oracle Application Server están incluidas en componentes de Oracle Collaboration Suite, once de ellas son aprovechables de forma remota sin necesidad de autenticación.

* 7 parches en Oracle E-Business Suite y Applications. Ninguna de ellas es aprovechable de forma remota sin autenticación.

* 6 nuevos parches para Oracle Enterprise Manager, 5 son aprovechables de forma remota sin autenticación.

* 3 nuevos parchces para Oracle PeopleSoft Enterprise. 1 es aprovechable de forma remota sin autenticación.

Para comprobar las matrices de productos afectados, gravedad y la
disponibilidad de parches, es necesario comprobar la notificación
oficial:

* Oracle Critical Patch Update – January 2007
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2007.html

* Critical Patch Update – January 2007 Documentation Map

http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=405814.1

Laboratorio Hispasec
laboratorio@hispasec.com

Más información:

Oracle Critical Patch Update – January 2007
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2007.html

Critical Patch Update – January 2007 Documentation Map
http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=405814.1

Compártelo: