Oracle ha publicado un conjunto de 38 parches para diversos productos de la casa que solventan una larga lista de vulnerabilidades. Las consecuencias son que atacantes locales y remotos pueden provocar denegaciones de servicio, ejecutar código arbitrario, tener acceso de escritura y lectura a datos sensibles, perpetrar ataques de inyección SQL y eludir restricciones de seguridad.
Los fallos se dan en varios componentes de los productos:
* Oracle Database 11g, versión 11.1.0.7
* Oracle Database 10g Release 2, versiones 10.2.0.3, 10.2.0.4
* Oracle Database 10g, versión 10.1.0.5
* Oracle Database 9i Release 2, versiones 9.2.0.8, 9.2.0.8DV
* Oracle Application Server 10g Release 3 (10.1.3), versiones 10.1.3.4.0, 10.1.3.5.0
* Oracle Application Server 10g Release 2 (10.1.2), versión 10.1.2.3.0
* Oracle Business Intelligence Enterprise Edition, versiones 10.1.3.4.0, 10.1.3.4.1
* Oracle E-Business Suite Release 12, versiones 12.0.6, 12.1
* Oracle E-Business Suite Release 11i, versión 11.5.10.2
* AutoVue, versión 19.3
* Agile Engineering Data Management (EDM), versión 6.1
* PeopleSoft PeopleTools & Enterprise Portal, versión 8.49
* PeopleSoft Enterprise HCM (TAM), versión 9.0
* JDEdward Tools, versión 8.98
* Oracle WebLogic Server 10.0 hasta MP1 y 10.3
* Oracle WebLogic Server 9.0 GA, 9.1 GA y 9.2 hasta 9.2 MP3
* Oracle WebLogic Server 8.1 hasta 8.1 SP5
* Oracle WebLogic Server 7.0 hasta 7.0 SP6
* Oracle WebLogic Portal, versiones 8.1 hasta 8.1 SP6, 9.2 hasta 9.2 MP3, 10.0 hasta 10.0MP1, 10.2 hasta 10.2MP1 y 10.3 hasta 10.3.1
* Oracle JRockit R27.6.4 y earlier (JDK/JRE 6, 5, 1.4.2)
* Oracle Communications Order y Service Management, versiones 2.8.0, 6.2.0, 6.3.0 y 6.3.1
De las 38 correcciones:
* 16 afectan a Oracle Database. Seis de las cuales no requieren un usuario y contraseña válidos para poder ser aprovechadas. Los componentes afectados son: Core RDBMS, Network Authentication, Data Mining, Oracle Spatial, PL/SQL, Application Express, Workspace Manager, Net Foundation Layer, Authentication, Advanced Queuing, Oracle Text, Data Pump y Auditing.
* Tres afectan a Oracle Application Server. Dos de las cuales no requieren usuario y contraseña válidos para poder ser aprovechadas. Los componentes afectados son: Business Intelligence Enterprise Edition y Portal.
* Ocho afectan a Oracle E-Business Suite. Cinco de las cuales no requieren usuario y contraseña válidos para poder ser aprovechadas. Los componentes afectados son: Oracle Advanced Benefits, Agile Engineering Data Management (EDM), Oracle Application Object Library, Oracle Applications Framework, Oracle Applications Technology Stack y AutoVue.
* Cuatro afectan a Oracle PeopleSoft Enterprise y JD Edwards EnterpriseOne. Todas requieren estar autenticado en el sistema para poder aprovecharlas. Los componentes afectados son: PeopleSoft PeopleTools & Enterprise Portal, PeopleSoft Enterprise HCM (TAM) y JD Edwards Tools.
* Seis afectan a BEA Products Suite. Todas puedes ser explotadas de forma remota sin autenticación. Los componentes afectados son: Jrockit, WebLogic Portal y WebLogic Server.
* Por último una vulnerabilidad para Oracle Industry Applications que afecta a Oracle Communications Order y Service Management.
Dada la diversidad de productos afectados y el número de vulnerabilidades se recomienda comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, disponible desde la notificación oficial:
Oracle Critical Patch Update Advisory – October 2009
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2009.html
antonior@hispasec.com
Más información:
Oracle Critical Patch Update Advisory – October 2009
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2009.html
Deja un comentario