Grupo de parches de julio para diversos productos Oracle

Oracle ha publicado un conjunto de 33 parches para diversos productos de la casa que solventan una larga lista de vulnerabilidades sobre las que apenas han dado detalles concretos. Las consecuencias son que atacantes locales y remotos pueden provocar denegaciones de servicio, ejecutar código arbitrario, tener acceso de escritura y lectura a datos sensibles, perpetrar ataques de inyección SQL y eludir restricciones de seguridad.

Los fallos se dan en varios componentes de los productos:
* Oracle Database 11g, versión 11.1.0.6, 11.1.0.7
* Oracle Database 10g Release 2, versiones 10.2.0.3, 10.2.0.4
* Oracle Database 10g, versión 10.1.0.5
* Oracle Database 9i Release 2, versiones 9.2.0.8, 9.2.0.8DV
* Oracle Application Server 10g Release 2 (10.1.2), versión 10.1.2.3.0
* Oracle Application Server 10g Release 3 (10.1.3), versiones 10.1.3.3.0, 10.1.3.4.0
* Oracle Identity Management 10g, versión 10.1.4.0.1, 10.1.4.2.0, 10.1.4.3.0
* Oracle E-Business Suite Release 12, versión 12.1
* Oracle E-Business Suite Release 12, versión 12.0.6
* Oracle E-Business Suite Release 11i, versión 11.5.10.2
* Oracle Enterprise Manager Database Control 11, versión 11.1.0.6, 11.1.0.7
* Oracle Enterprise Manager Grid Control 10g Release 4, versión 10.2.0.4
* PeopleSoft Enterprise PeopleTools versiones: 8.49
* PeopleSoft Enterprise HRMS versiones: 8.9 y 9.0
* Siebel Highly Interactive Client versiones: 7.5.3, 7.7.2, 7.8, 8.0, 8.1
* Oracle WebLogic Server 10.3, 10.0MP1
* Oracle WebLogic Server 9.0 GA, 9.1 GA, 9.2 hasta 9.2 MP3
* Oracle WebLogic Server 8.1 hasta 8.1 SP6
* Oracle WebLogic Server 7.0 hasta 7.0 SP7
* Oracle Complex Event Processing 10.3 y WebLogic Event Server 2.0
* Oracle JRockit R27.6.3 y anteriores (JDK/JRE 6, 5, 1.4.2)

De las 33 correcciones:

* 10 afectan a Oracle Database. Tres de las cuales no requieren un usuario y contraseña válidos para poder ser aprovechadas. Ninguna es aplicable a las instalaciones de cliente. 2 afectan a Oracle Secure Backup. Una de las cuales no requieren un usuario y contraseña válidos para poder ser aprovechadas. Los componentes afectados son: Network Foundation, Network Authentication, Advanced Replication, Config Management, Upgrade, Virtual Private Database, Listener, Secure Enterprise Search, Core RDBMS y Auditing.

* Dos vulnerabilidades para Oracle Secure Enterprise Search 10g con Oracle Secure Enterprise Search.

* Dos afectan a Oracle Application Server. Las dos requieren un usuario y contraseña válidos para poder ser aprovechadas. Ninguna es aplicable a las instalaciones de cliente. Los componentes afectados son: Oracle Security Developer Tools y HTTP Server.

* 5 afectan a Oracle Applications. 3 no requieren un usuario y contraseña válidos para poder ser aprovechadas. Los componentes afectados son: Oracle Application Object Library, Application Install, Oracle Applications Framework, Oracle iStore y Oracle Applications Manager.

* Dos afectan a Oracle Enterprise Manager. Todas requieren un usuario y contraseña válidos para poder ser aprovechadas. Los componentes afectados son: Config Management.

* Tres afectan a Oracle PeopleSoft and JDEdwards Suite. Una no requiere un usuario y contraseña válidos para poder ser aprovechada. Los componentes afectados son: PeopleSoft Enterprise FMS, PeopleSoft Enterprise PeopleTools – Enterprise Portal y PeopleSoft Enterprise HRMS eProfile Manager.

* Una afecta a Oracle Siebel Suite. Requiere un usuario y contraseña válidos para poder ser aprovechada. Los componentes afectados son: Highly Interactive Client

* Cinco afectan a Oracle BEA Products Suite. Ninguna requiere un usuario y contraseña válidos para poder ser aprovechada. Los componentes afectados son: Jrockit, Oracle Complex Event Processing, WebLogic Server.

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial:

Oracle Critical Patch Update Advisory – July 2009
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2009.html

Sergio de los Santos
ssantos@hispasec.com

Más información:

Oracle Critical Patch Update Advisory – July 2009
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2009.html

Acerca de Hispasec

Hispasec Ha escrito 7093 publicaciones.

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional	11 months	La cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy	11 months	La cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.

Grupo de parches de julio para diversos productos Oracle

Acerca de Hispasec

Publicaciones relacionadas

UAD

Aviso Legal

Acerca de Hispasec

Compártelo:

Publicaciones relacionadas

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Footer

UAD

Aviso Legal