Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica su boletín de seguridad de julio. Contiene parches para 89 vulnerabilidades diferentes en múltiples productos pertenecientes a 12 familias diferentes, que van desde el popular gestor de base de datos Oracle Database hasta Solaris o MySQL.
Los productos que reciben estas actualizaciones se encuentran en el siguiente listado:
- Oracle Database
Oracle Database 11g Release 2, versiones 11.2.0.2 y 11.2.0.3
Oracle Database 11g Release 1, versión 11.1.0.7
Oracle Database 10g Release 2, versiones 10.2.0.4 y 10.2.0.5
- Oracle Fusion Middleware
Oracle Access Manager, versiones 11.1.1.5.0, 11.1.1.7.0 y 11.1.2.0.0
Oracle Endeca Server, versiones 7.4.0 y 7.5.1.1
Oracle HTTP Server, versiones 10.1.3.5.0
Oracle JRockit, versiones R27.7.5 y anteriores, R28.2.7 y anteriores
Oracle Outside In Technology, versiones 8.3.7, 8.4.0, 8.4.1
Oracle WebCenter Content, versiones 10.1.3.5.1, 11.1.1.6.0, 11.1.1.7.0
- Oracle Hyperion
Oracle Hyperion BI, versiones 11.1.1.3, 11.1.1.4.107 y anteriores, 11.1.2.1.129 y anteriores, 11.1.2.2.305 y anteriores
- Oracle Enterprise Manager Grid Control
Enterprise Manager Plugin for Database 12c Release 1, versiones 12.1.0.2 y 12.1.0.3
Enterprise Manager Grid Control 11g Release 1, versión 11.1.0.1
Enterprise Manager Grid Control 10g Release 1, versión 10.2.0.5
- Oracle E-Business Suite
Oracle E-Business Suite Release 12i, versiones 12.0.6, 12.1.1, 12.1.2 y 12.1.3
Oracle E-Business Suite Release 11i, versión 11.5.10.2
- Oracle Supply Chain Products Suite
Oracle Agile Collaboration Framework, versión 9.3.1
Oracle Agile PLM Framework, versión 9.3.1
Oracle Agile Product Framework, versión 9.3.1
- Oracle PeopleSoft
Oracle PeopleSoft Enterprise Portal, versión 9.1
Oracle PeopleSoft HRMS, versión 9.1
Oracle PeopleSoft PeopleTools, versiones 8.51, 8.52, 8.53
- Oracle i iLearning
Oracle iLearning, versiones 5.2.1, 6.0
- Oracle Industry Applications Product Suite
Oracle Policy Automation, versiones 10.2.0, 10.3.0, 10.3.1, 10.4.0, 10.4.1 y 10.4.2
- Oracle and Sun Systems Product Suite
Solaris Cluster 3.2, 3.3, 4 anteriores a 4.1 SRU 3
Solaris 8, 9, 10, 11
SPARC Enterprise M Series Servers XCP 1114 y anteriores
- Oracle Linux and Virtualization
Oracle Secure Global Desktop, versiones 4.6 anteriores a 4.63 y 4.7 anteriores a 4.71
- Oracle MySQL Product Suite
Oracle MySQL Server, versiones 5.1, 5.5 y 5.6
La mayoría de las vulnerabilidades que aloja este boletín se catalogan en importancia media-baja.
A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas:
- Oracle Database
Se han publicado seis nuevos parches para Oracle Database Server. La más grave de todas puede ser exploitable de forma remota sin autenticación. Ninguna de los problemas afectan a instalaciones de la parte de solo-cliente (instalaciones que no tengan instalado Oracle Database Server). Incluye la vulnerabilidad (CVE-2013-3751) de mayor impacto (con una puntuación CVSS de 9.0) de todas las corregidas.
- Oracle Fusion Middleware
Esta actualización soluciona 21 vulnerabilidades en Oracle Fusion Middleware. 16 de ellas pueden explotarse de forma remota sin autenticación.
- Oracle Hyperion
Incluye un nuevo parche para Oracle Hyperion. Esta solo puede explotarse por usuarios autenticados, para acceder a datos de los sistemas afectados.
- Enterprise Manager Grid Control
En esta actualización se incluye la corrección de dos nuevas vulnerabilidades (CVE-2013-3758 y CVE-2013-3791) en Oracle Enterprise Manager Grid Control. Ambos problemas pueden explotarse de forma remota sin autenticación y no afectan a instalaciones solo-cliente, y podrían permitir .la modificación de datos en los sistemas afectados.
- E-Business Suite
Incluye siete nuevos parches para Oracle E-Business Suite. Cuatro de las vulnerabilidades pueden explotarse de forma remota sin autenticación.
- Oracle Supply Chain
Se corrigen cuatro nuevas vulnerabilidades en Oracle Supply Chain Products Suite, solo una de ellas puede explotarse de forma remota sin autenticación.
- PeopleSoft
Se solucionan 10 nuevas vulnerabilidades, todas relacionadas con el protocolo HTTP. Ocho de ellas pueden explotarse de forma remota sin necesidad de credenciales.
- Oracle iLearning
Se corrige una vulnerabilidad en Oracle iLearning explotable de forma remota sin autenticación.
- Oracle Industry Applications
Se corrige una vulnerabilidad en Oracle Industry Applications (explotable de forma local con autenticación).
- Oracle Sun Products
Se solucionan 16 nuevas vulnerabilidades, principalmente afectan todas ellas a diferentes versiones de Solaris (desde la versión 8 ala 11). Ocho de ellas pueden explotarse de forma remota sin necesidad de credenciales.
- Oracle Virtualization
En esta actualización se incluye la corrección de dos nuevas vulnerabilidades en el componente Secure Global Desktop a través de http. Ambos problemas pueden explotarse de forma remota sin autenticación
- Oracle MySQL Product Suite
Se solucionan 18 nuevas vulnerabilidades en MySQL Server, en su mayoría denegaciones de servicio que podrían afectar solo a la aplicación o al sistema al completo. Si bien solo dos de los problemas pueden explotarse de forma remota sin autenticación.
Para más información sobre las vulnerabilidades solucionadas y la aplicación de los parches, se recomienda visitar el sitio oficial del boletín.
Más información:
Oracle Critical Patch Update Advisory – July 2013
Antonio Ropero
Twitter: @aropero
Deja una respuesta