Oracle ha publicado un conjunto de 43 parches para diversos productos de la casa que solventan una larga lista de vulnerabilidades sobre las que apenas han dado detalles concretos. Las consecuencias son que atacantes locales y remotos pueden provocar denegaciones de servicio, ejecutar código arbitrario, tener acceso de escritura y lectura a datos sensibles, perpetrar ataques de inyección SQL y eludir restricciones de seguridad.
Los fallos se dan en varios componentes de los productos:
Oracle Database 11g, version 11.1.0.6, 11.1.0.7
Oracle Database 10g Release 2, versions 10.2.0.3, 10.2.0.4
Oracle Database 10g, version 10.1.0.5
Oracle Database 9i Release 2, versions 9.2.0.8, 9.2.0.8DV
Oracle Application Server 10g Release 2 (10.1.2), version 10.1.2.3.0
Oracle Outside In SDK HTML Export 8.2.2, 8.3.0
Oracle XML Publisher 5.6.2, 10.1.3.2, 10.1.3.2.1
Oracle BI Publisher 10.1.3.3.0 10.1.3.3.1, 10.1.3.3.2, 10.1.3.3.3, 10.1.3.
Oracle E-Business Suite Release 12, version 12.0.6
Oracle E-Business Suite Release 11i, version 11.5.10.2
PeopleSoft Enterprise PeopleTools versions: 8.49
PeopleSoft Enterprise HRMS versions: 8.9 and 9.0
Oracle WebLogic Server 10.3
Oracle WebLogic Server 9.0 GA, 9.1 GA, 9.2 through 9.2 MP3
Oracle WebLogic Server 8.1 through 8.1 SP6
Oracle WebLogic Server 7.0 through 7.0 SP7
Oracle WebLogic Portal 8.1 through 8.1 SP6
Oracle Data Service Integrator 10.3.0 and Oracle AquaLogic Data Services Platform (formerly BEA ALDSP) 3.2, 3.0.1, 3.0
Oracle JRockit (formerly BEA JRockit) R27.6.2 and earlier (JDK/JRE 6, 5, 1.4.2)
De las 43 correcciones:
* 16 afectan a Oracle Database. Dos de las cuales no requieren un usuario y contraseña válidos para poder ser aprovechadas. Ninguna es aplicable a las instalaciones de cliente. Los componentes afectados son:
Resource Manager, Core RDBMS, Workspace Manager, Advanced Queuing, Database Vault, SQLX Functions, Cluster Ready Services, Listener, Application Express, Password Policy.
* 12 afectan a Oracle Application Server. Cinco de las cuales no requieren un usuario y contraseña válidos para poder ser aprovechadas. Ninguna es aplicable a las instalaciones de cliente. Los componentes afectados son:
OPMN, BI Publisher, Outside In Technology, Portal
* 3 afectan a Oracle E-Business Suite and Applications. Ninguna requiere un usuario y contraseña válidos para poder ser aprovechadas. Ninguna es aplicable a las instalaciones de cliente. Los componentes afectados son:
Oracle Application Object Library, Oracle Applications Framework, Oracle Applications Technology Stack.
* 4 afectan a Oracle PeopleSoft Enterprise y JD Edwards EnterpriseOne. Dos requieren un usuario y contraseña válidos para poder ser aprovechada. Los componentes afectados son:
PeopleSoft Enterprise PeopleTools, PeopleSoft Enterprise HRMS – eBenefits.
* 8 afectan a BEA Product Suite. Tres requieren un usuario y contraseña válidos para poder ser aprovechadas. Los componentes afectados son:
JRockit, WebLogic Server, WebLogic Portal, Oracle Data Service Integrator (AquaLogic Data Services Platform).
Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial:
Oracle Critical Patch Update Advisory – April 2009
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2009.html
laboratorio@hispasec.com
Más información:
Oracle Critical Patch Update Advisory – April 2009
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2009.html
Deja una respuesta