Siguiendo su ritmo de publicación trimestral, Oracle publica el boletín de seguridad correspondiente a Julio en el que aloja parches para 87 vulnerabilidades repartidas entre gran parte de sus productos. Además, confirma que la vulnerabilidad TNS Poison no va a ser corregida para las versiones actuales de Oracle DB.
Las vulnerabilidades que soluciona este boletín están bastante repartidas entre los productos afectados, listados a continuación:
- Oracle Database
Oracle Database 11g Release 2, versiones 11.2.0.2, 11.2.0.3
Oracle Database 11g Release 1, versión 11.1.0.7
Oracle Database 10g Release 2, versiones 10.2.0.3, 10.2.0.4, 10.2.0.5
Oracle Secure Backup, version 10.3.0.3, 10.4.0.1
- Fusion Middleware
Oracle Outside In Technology, versiones 8.3.5, 8.3.7
Oracle Application Server 10g Release 3, versión 10.1.3.5
Oracle Fusion Middleware 11g Release 1, versiones 11.1.1.5, 11.1.1.6
Oracle Fusion Middleware 11g Release 2, versión 11.1.2.0
Oracle Identity Management 10g, version 10.1.4.3
Hyperion BI+, versión 11.1.1.x
Oracle JRockit versiones R28.2.3, R27.7.2 y anteriores
Oracle Map Viewer, versiones 10.1.3.1, 11.1.1.5, 11.1.1.6
- EnterpriseManager
Enterprise Manager Plugin for Database 12c Release 1, versiones 12.1.0.1, 12.1.0.2
Enterprise Manager Grid Control 11g Release 1, versión 11.1.0.1
Enterprise Manager Grid Control 10g Release 1, versión 10.2.0.5
- E-Business Suite
Oracle E-Business Suite Release 11i, versión 11.5.10.2
Oracle E-Business Suite Release 12, versiones 12.0.4, 12.0.6, 12.1.1, 12.1.2, 12.1.3
- Oracle Supply Chain
Oracle Transportation Management, versiones 5.5.06, 6.0, 6.1, 6.2
Oracle AutoVue, versiones 20.0.2, 20.1
- PeopleSoft
Oracle PeopleSoft Enterprise PeopleTools, versión 8.50, 8.51, 8.52
Oracle PeopleSoft Enterprise HRMS, versiones 9.0, 9.1
- Oracle Siebel
Oracle Siebel CRM, versiones 8.1.1, 8.2.2
- Oracle Health Sciences
Oracle Clinical Remote Data Capture Option, versiones 4.6, 4.6.2, 4.6.3
- Oracle Sun Product Suite GlassFish Enterprise Server, versiones 3.0.1, 3.1.1
Communications Server, versión 2.0
Solaris versiones 8, 9, 10, 11
Solaris Cluster versión 3.3
Oracle iPlanet Web Server versión 7.0
SPARC T-Series Servers versiones 8.1.4.e, 8.2.0
- Oracle MySQL Product Suite Oracle MySQL Server, versiones 5.1, 5.5
La puntuación media de las vulnerabilidades es media-baja, con algunos casos a destacar. La puntuación más alta la tiene la vulnerabilidad CVE-2012-3135 de Jrockit, que aunque aparece bajo un sólo CVE engloba una lista de vulnerabilidades en Java Runtime Environment con identificadores CVE-2012-1713, CVE-2012-1724, CVE-2012-1718, CVE-2012-1717, y CVE-2012-1720 que fueron corregidos en el boletín de seguridad para Java SE publicado en junio. Entre estas hay fallos de seguridad que pueden comprometer completamente el sistema, con una puntuación CVSS de 10.
Abundan las denegaciones de servicio, destacando entre estas las CVE-2012-3120, CVE-2008-4609, CVE-2012-3125 que afectan a Solaris 8,9 y 10, con CVSS 7.8, 7.1 y 7.1 respectivamente.
A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas:
- Oracle DB: Siete vulnerabilidades divididas en tres grupos:
– Cuatro de ellas se alojan en Oracle Database Server.
– Otras dos vulnerabilidades en Oracle Secure Backup.
– Una última en Oracle Application Express Listener.
Los dos primeros grupos afectan principalmente a la disponibilidad del sistema, mientras que la última es un compromiso de la integridad. Todas son explotables remotamente sin necesidad de autenticación excepto una de las de Oracle Database Server, que requiere autenticación simple.
-
Fusion Middleware: 23 vulnerabilidades, 8 de ellas explotables remotamente sin autenticación. La mayoría se refiere a fallos que afectan a la disponibilidad del sistema, pero destaca entre todas una vulnerabilidad en el componente Oracle Jrockit de la que hablamos anteriormente.
-
Enterprise Manager Grid Control: Una sola vulnerabilidad corregida, explotable remotamente sin autenticación, y que puede afectar parcialmente la confidencialidad, disponibilidad e integridad del sistema.
-
E-Business Suite: Cuatro vulnerabilidades relacionadas con la disponibilidad del sistema, dos de ellas explotables de forma remota.
-
Oracle Supply Chain: Cinco vulnerabilidades, entre ellas cuatro denegaciones de servicio. Todas se pueden explotar de forma remota, con necesidad de autenticación simple, excepto una para la que no es necesario.
-
PeopleSoft: Nueve vulnerabilidades de importancia media-baja, explotables remotamente con necesidad de autenticación simple y relacionadas en su mayoría con el acceso a información confidencial y posible modificación de los datos.
-
Siebel CRM: Siete vulnerabilidades. De estas, cinco se pueden explotar sin autenticación dwe forma remota. Afectan, entre todas, a la confidencialidad, integridad y disponibilidad del sistema, y están relacionadas con las interfaces de usuario.
-
Industry Applications: Se trata de una vulnerabilidad de importancia baja que podría permitir el acceso a información sensible, y que para explotarse (sólo de forma local) requeriría autenticación múltiple.
-
Oracle Sun Products: 24 vulnerabilidades, 16 de ellas explotables remotamente sin autenticación. A destacar aquellas alojadas en el subcomponente TCP/IP de Solaris 8,9 y 10, denegaciones de servicio completas explotables remotamente sin autenticación. Una de estas vulnerabilidades es un «ping de la muerte» de 2001.
- Oracle MySQL Product Suite: Seis vulnerabilidades, todas denegaciones de servicio, y que necesitan autenticación simple para ser explotadas de forma remota.
Este es el primer boletín de Oracle tras la publicación de la vulnerabilidad TNS Listener Poison Attack. Oracle incluye en este boletín una nota en la que afirma que no tiene planes de publicar un parche para ella, y remite a los usuarios a las recomendaciones que hizo en el boletín «Oracle Security Alert for CVE-2012-1675» sobre dicha vulnerabilidad.
Más información:
Oracle Critical Patch Update Advisory – July 2012
Oracle Security Alert for CVE-2012-1675
Oracle Java SE Critical Patch Update Advisory – June 2012
Sergio de los Santos
Twitter: @ssantosv
