En el boletín de abril recientemente publicado, Oracle corrige 128 vulnerabilidades relacionadas sobre todo con sus productos empresariales como Database, Fusion Middleware, PeopleSoft, Siebel… aunque también se ven afectados MySQL y Solaris entre otros, cubriendo 13 familias de productos en total.
Resumimos el número de vulnerabilidades reportadas por familia:- 4 para Oracle Database Server, siendo la más importante CVE-2013-1534, relacionada con ejecución remota de código (con un CVSS 10.0).
- 29 para Oracle Fusion Middleware, con otra ejecución remota de código en JRockit (CVE-2013-2380), relacionada con Java.
- 6 para Oracle E-Business Suite.
- 3 para Oracle Supply Chain Products Suite.
- 11 para Oracle PeopleSoft Products.
- 8 para Oracle Siebel CRM.
- 3 para Oracle Industry Applications.
- 18 para Oracle Financial Services Software.
- 2 para Oracle Primavera Products Suite.
- 16 para Oracle y Sun Systems Products Suite, entre ellas Solaris.
- 2 para Oracle Sun Middleware Products.
- 25 para Oracle MySQL, en su mayoría denegaciones de servicio.
- 1 para Oracle Support Tools.
Este boletín se complementa con el publicado conjuntamente para la máquina virtual Java (JRE y JDK), donde se corregían 42 vulnerabilidades.
Las versiones de las respectivas familias afectadas, serían:
- Database:
Oracle Database 11g Release 2, versiones 11.2.0.2, 11.2.0.3
Oracle Database 11g Release 1, versión 11.1.0.7
Oracle Database 10g Release 2, versiones 10.2.0.4, 10.2.0.5
Oracle Application Express, versiones anteriores a 4.2.1
- E-Business Suite:
Oracle E-Business Suite Release 12i, versiones 12.0.6, 12.1.1, 12.1.2, 12.1.3
Oracle E-Business Suite Release 11i, versión 11.5.10.2
- Fusion Middleware:
Oracle Containers for J2EE, versión 10.1.3.5
Oracle COREid Access, versión 10.1.4.3
Oracle GoldenGate Veridata, versión 3.0.0.11
Oracle HTTP Server, versiones 10.1.3.5.0, 11.1.1.5.0, 11.1.1.6.0
Oracle JRockit, versiones R27.7.4, R28.2.6 y posteriores
Oracle Outside In Technology, versiones 8.3.7, 8.4.0
Oracle WebCenter Capture, versión 10.1.3.5.1
Oracle WebCenter Content, versiones 10.1.3.5.1, 11.1.1.6.0
Oracle WebCenter Interaction, versiones 6.5.1, 10.3.3.0
Oracle WebCenter Sites, versiones 7.6.2, 11.1.1.6.0, 11.1.1.6.1
Oracle WebLogic Server, versiones 10.0.2, 10.3.5, 10.3.6, 12.1.1
Oracle Web Services Manager, versión 11.1.1.6
- Health Sciences:
Oracle Clinical Remote Data Capture Option, versiones 4.6.0, 4.6.6
- Oracle FLEXCUBE:
Oracle FLEXCUBE Direct Banking, versiones 2.8.0 a 12.0.1
- Oracle MySQL Product Suite:
Oracle MySQL Server, versiones 5.1, 5.5, 5.6
- Oracle Support Tools:
Oracle Automatic Service Request, versiones anteriores a 4.3.2
- PeopleSoft:
Oracle PeopleSoft HRMS, versión 9.1
Oracle PeopleSoft PeopleTools, versiones 8.51, 8.52 y 8.53
- Primavera:
Primavera P6 Enterprise Project Portfolio Management, versiones 7.0, 8.1, 8.2
- Retail:
Oracle Retail Central Office, versiones 13.1, 13.2, 13.3, 13.4
Oracle Retail Integration Bus, versiones 13.0, 13.1, 13.2
- Siebel:
Oracle Siebel CRM, versiones 8.1.1, 8.2.2
- Supply Chain:
Oracle Agile EDM, versiones 6.1.1.0, 6.1.2.0, 6.1.2.2
Oracle Transportation Management, versiones 5.5.05, 6.2
Para más información sobre las vulnerabilidades solucionadas y la aplicación de los parches, se recomienda visitar urgentemente el sitio oficial del boletín.
Más información:
Oracle Critical Patch Update Advisory – April 2013
José Mesa Orihuela
Deja una respuesta