Oracle ha publicado un conjunto de 66 parches para diversos productos de la casa que solventan una larga lista de vulnerabilidades. Las consecuencias son que atacantes locales y remotos pueden comprometer gravemente la seguridad de los sistemas y servicios afectados.
En este boletín han sido solucionados 66 errores agrupados en los siguientes productos:
* Oracle Database 11g Release 2, versión 11.2.0.1
* Oracle Database 11g Release 1, versión 11.1.0.7
* Oracle Database 10g Release 2, versiones 10.2.0.3, 10.2.0.4, 10.2.0.5
* Oracle Database 10g Release 1, versión 10.1.0.5
* Oracle Audit Vault 10g Release 2, versión 10.2.3.2
* Oracle Secure Backup 10g Release 3, versión 10.3.0.2
* Oracle , 11g Release 1, versiones 11.1.1.2.0, 11.1.1.3.0
* Oracle Application Server 10g Release 2, versión 10.1.2.3.0
* Oracle Beehive, versiones 2.0.1.0, 2.0.1.1, 2.0.1.2, 2.0.1.2.1, 2.0.1.3
* Oracle BI Publisher, versiones 10.1.3.3.2, 10.1.3.4.0, 10.1.3.4.1, 11.1.1.3
* Oracle Document Capture, versiones 10.1.3.4, 10.1.3.5
* Oracle GoldenGate Veridata, versión 3.0.0.4
* Oracle JRockit versiones, R27.6.7 y anteriores (JDK/JRE 1.4.2, 5, 6), R28.0.1 y anteriores (JDK/JRE 5, 6)
* Oracle Outside In Technology, versión 8.3.0
* Oracle WebLogic Server, versiones 7.0.7, 8.1.6, 9.0, 9.1, 9.2.3, 10.0.2, 10.3.2, 10.3.3
* Oracle Enterprise Manager Suite Release 10, versión 10.2.0.5
* Oracle Enterprise Manager Real User Experience Insight, versión RUEI 6.0
* Oracle E-Business Suite Release 12, versiones 12.0.4, 12.0.5, 12.0.6, 12.1.1, 12.1.2, 12.1.3
* Oracle E-Business Suite Release 11i, versión 11.5.10.2
* Oracle Agile Core, versiones 9.3.0.2, 9.3.1
* Oracle Transportation Manager, versiones 5.5, 6.0, 6.1, 6.2
* Oracle PeopleSoft Enterprise CRM, versiones 8.9, 9.0, 9.1
* Oracle PeopleSoft Enterprise HRMS, versiones 8.9, 9.0, 9.1
* Oracle PeopleSoft Enterprise PeopleTools, versiones 8.49, 8.50, 8.51
* Oracle Argus Safety, versiones 5.0, 5.0.1, 5.0.2, 5.0.3
* Oracle InForm Portal, versiones 4.5, 4.6, 5.0
* Oracle Sun Product Suite
* Oracle Open Office, versión 3.2.1 y StarOffice/StarSuite, versiones 7, 8
De los 66 errores existen, los más graves son (calificados de máxima criticidad, esto es, permiten ejecución de código sin intervención del usuario y no resultan complejos de aprovechar):
* CVE-2010-4449: En el protocolo HTTP del componente Audit Vault.
* CVE-2010-3574: En múltiples protocolos del componente Oracle JRockit.
* CVE-2010-3510: En Node Manager de Oracle WebLogic Server.
* CVE-2010-4435: En el protocolo RPC de Solaris 8, 9 y 10
Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial:
vtorre@hispasec.com
Más información:
Oracle Critical Patch Update Advisory – January 2011:
http://www.oracle.com/technetwork/topics/security/cpujan2011-194091.html
Deja una respuesta