Oracle ha publicado un conjunto de parches para diversos productos de la casa que solventan un total de 88 nuevas vulnerabilidades. Las consecuencias son que atacantes locales y remotos pueden comprometer gravemente la seguridad de los sistemas y servicios afectados.
Los fallos se dan en varios componentes de los productos:
- Oracle Database 11g Release 2, versiones 11.2.0.2, 11.2.0.3
- Oracle Database 11g Release 1, versión 11.1.0.7
- Oracle Database 10g Release 2, versiones 10.2.0.3, 10.2.0.4, 10.2.0.5
- Oracle Application Server 10g Release 3, versión 10.1.3.5.0
- Oracle BI Publisher, versiones 10.1.3.4.1, 10.1.3.4.2
- Oracle DB UM Connector for Oracle Identity Manager, Versión 9.1.0.4
- Oracle Identity Manager 11g, versiones 11.1.1.3, 11.1.1.5
- Oracle JDeveloper, versión 10.1.3.5.0
- Oracle JRockit versiones, R28.2.2 y anteriores, R27.7.1 y anteriores
- Oracle Outside In Technology, versiones 8.3.5, 8.3.7
- Oracle WebCenter Forms Recognition, versión 10.1.3.5
- Enterprise Manager Grid Control 11g Release 1, versión 11.1.0.1
- Enterprise Manager Grid Control 10g Release 1, versión 10.2.0.5
- Oracle E-Business Suite Release 12, versiones 12.0.4, 12.0.6, 12.1.1, 12.1.2, 12.1.3
- Oracle E-Business Suite Release 11i, versión 11.5.10.2
- Oracle Agile, versión 6.0.0
- Oracle AutoVue versión 20.0.2
- Oracle PeopleSoft Enterprise CRM, versión 9.1
- Oracle PeopleSoft Enterprise HCM, versión 9.1
- Oracle PeopleSoft Enterprise HRMS, versiones 8.9, 9.0, 9.1
- Oracle PeopleSoft Enterprise FCSM, versiones 9.0, 9.1
- Oracle PeopleSoft Enterprise PeopleTools, versiones 8.50, 8.51, 8.52
- Oracle PeopleSoft Enterprise Portal versión 9.1
- Oracle PeopleSoft Enterprise SCM, versiones 9.0, 9.1
- Oracle Siebel Life Sciences, versiones 8.0.0, 8.1.1, 8.2.2
- Oracle FLEXCUBE Direct Banking, versiones 5.0.2, 5.3.0-5.3.4, 6.0.1, 6.2.0
- Oracle FLEXCUBE Universal Banking, versiones 10.0.0-10.5.0, 11.0.0-11.4.0
- Primavera P6 Enterprise Project Portfolio Management, versiones 6.2.1, 8.0, 8.1, 8.2
- Oracle Sun Product Suite
- Oracle MySQL Server, versiones 5.1, 5.5
A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas:
* 12 nuevas vulnerabilidades corregidas en Oracle Database Server. Siete de los problemas corregidos son explotables remotamente sin autenticación.
* Otras 11 vulnerabilidades afectan a Oracle Fusion Middleware. Nueve de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Oracle JRockit, Oracle Outside In Technology, Oracle WebCenter Forms Recognition, Identity Manager, BI Publisher (formerly XML Publisher), Identity Manager Connector y Oracle JDeveloper.
* Seis parches afectan a Oracle Enterprise Manager Grid Control. En esta ocasión cuatro de las vulnerabilidades podrían ser utilizadas por un atacante remoto sin autenticar. El componente afectado es Enterprise Manager Base Platform.
* Cuatro nuevas vulnerabilidades afectan a Oracle Applications, todas ellas explotables de forma remota sin autenticación. Los componentes afectados son Oracle Application Object Library y Oracle iStore.
* 15 de las vulnerabilidades afectan a la suite de productos Oracle Sun. Cinco de estas nuevas vulnerabilidades son explotables de forma remota sin autenticación. Ocho de los problemas afectan al propio Solaris, otros componentes afectados son Oracle Grid Engine, GlassFish Enterprise Server, Oracle iPlanet Web Server y los servidores SPARC Enterprise M Series.
* Esta actualización también incluye 5 parches de seguridad para Oracle Supply Chain Products Suite, otras 15 para productos Oracle PeopleSoft, dos para Oracle Industry Applications, 17 para Oracle Financial Services Software y una para la suite de productos Oracle Primavera.
Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial en:
Oracle Critical Patch Update Advisory – April 2012
Más información:
Oracle Critical Patch Update Advisory – April 2012
Antonio Ropero
Twitter: @aropero
Deja una respuesta