Oracle ha publicado un conjunto de 45 parches para diversos productos de la casa que solventan una larga lista de vulnerabilidades sobre las que apenas han dado detalles concretos. Las consecuencias son que atacantes locales y remotos pueden provocar denegaciones de servicio, ejecutar código arbitrario, tener acceso de escritura y lectura a datos sensibles, perpetrar ataques de inyección SQL y eludir restricciones de seguridad. Los fallos se dan en varios componentes de los productos.
Parece que el número de actualizaciones por trimestre desciende para Oracle en los últimos tiempos. En abril, Oracle publicó 36 actualizaciones de seguridad. En enero, el total ascendió a 50. En octubre batió todos los records y publicó más de 100 parches. Hace justo un año, en julio de 2006, publicó 65 actualizaciones.
Los productos afectados son:
* Oracle Database 10g Release 2, versiones 10.2.0.2, 10.2.0.3
* Oracle Database 10g, versión 10.1.0.5
* Oracle9i Database Release 2, versiones 9.2.0.7, 9.2.0.8, 9.2.0.8DV
* Oracle Application Express (HTML DB), versiones 1.5 – 2.2
* Oracle Secure Enterprise Search 10g, versiones 10.1.6, 10.1.8
* Oracle Application Server 10g Release 3 (10.1.3), versiones 10.1.3.0.0, 10.1.3.1.0, 10.1.3.2.0, 10.1.3.3.0
* Oracle Application Server 10g Release 2 (10.1.2), versiones 10.1.2.0.1 – 10.1.2.0.2, 10.1.2.1.0, 10.1.2.2.0
* Oracle Application Server 10g (9.0.4), versión 9.0.4.3
* Oracle10g Collaboration Suite, versión 10.1.2
* Oracle E-Business Suite Release 11i, versiones 11.5.8 – 11.5.10 CU2
* Oracle E-Business Suite Release 12, versiones 12.0.0, 12.0.1
* Oracle PeopleSoft Enterprise PeopleTools versiones 8.22, 8.47, 8.48, 8.49
* Oracle PeopleSoft Enterprise Human Capital Management versiones 8.9, 9.0
* Oracle PeopleSoft Enterprise Customer Relationship Management versiones 8.9, 9.0
De las 45 correcciones, 19 afectan a Oracle Database, Dos de ellas no requieren un usuario y contraseña válidos para poder ser aprovechadas. Cuatro afectan a Oracle Application Server, tres de las cuales no requieren un usuario y contraseña válidos para poder ser aprovechadas. Una afecta a Oracle Collaboration Suite. Este parche incluye una solución para 4 vulnerabilidades de Oracle Application Server. 14 afectan a Oracle E-Business Suite. Seis de ellas no requieren un usuario y contraseña válidos para poder ser aprovechadas. Siete afectan a Oracle PeopleSoft Enterprise. Una de ellas no requieren un usuario y contraseña válidos para poder ser aprovechadas.
Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial:
* Oracle Critical Patch Update – July 2007
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2007.html
* Critical Patch Update – July 2007 Documentation Map
http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=432868.1
laboratorio@hispasec.com
Deja una respuesta