Oracle ha publicado un conjunto de 26 parches para diversos productos de la casa que solventan una larga lista de vulnerabilidades sobre las que apenas han dado detalles concretos. Las consecuencias son que atacantes locales y remotos pueden provocar denegaciones de servicio, ejecutar código arbitrario, tener acceso de escritura y lectura a datos sensibles, perpetrar ataques de inyección SQL y eludir restricciones de seguridad.
Los fallos se dan en varios componentes de los productos.
Oracle Database 11g, versión 11.1.0.6
Oracle Database 10g Release 2, versiones 10.2.0.2, 10.2.0.3
Oracle Database 10g, versión 10.1.0.5
Oracle Database 9i Release 2, versiones 9.2.0.8, 9.2.0.8DV
Oracle Application Server 10g Release 3 (10.1.3), versiones
10.1.3.0.0, 10.1.3.1.0, 10.1.3.3.0
Oracle Application Server 10g Release 2 (10.1.2), versiones
10.1.2.0.2, 10.1.2.1.0, 10.1.2.2.0
Oracle Application Server 10g (9.0.4), versión 9.0.4.3
Oracle Collaboration Suite 10g, versión 10.1.2
Oracle E-Business Suite Release 12, versiones 12.0.0 – 12.0.3
Oracle E-Business Suite Release 11i, versiones 11.5.9 – 11.5.10 CU2
Oracle PeopleSoft Enterprise PeopleTools versiones 8.22, 8.48, 8.49
Oracle Database 9i, version 9.0.1.5 FIPS+
Oracle Application Server 9i Release 1, versión 1.0.2.2
De las 26 correcciones:
* 8 afectan a Oracle Database. Ninguna de las cuales no requieren un usuario y contraseña válidos para poder ser aprovechadas.
* 6 afectan a Oracle Application Server. 5 de las cuales no requieren un usuario y contraseña válidos para poder ser aprovechadas. 2 nuevas son aplicables a las instalaciones de cliente.
* 1 afecta a Oracle Collaboration Suite.
* 7 afectan a Oracle E-Business Suite. 3 de las cuales no requieren un usuario y contraseña válidos para poder ser aprovechadas.
* 4 afectan a Oracle PeopleSoft Enterprise PeopleTools. 1 de las cuales no requieren un usuario y contraseña válidos para poder ser aprovechadas.
Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial:
* Oracle Critical Patch Update – January 2008
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2007.html
* Critical Patch Update – January 2008 Documentation Map
http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=467880.1
laboratorio@hispasec.com
Más información:
Oracle Critical Patch Update – January 2008
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2007.html
Deja una respuesta