Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica suboletín de seguridad de abril. Contiene parches para 104 vulnerabilidades diferentes en cientos de productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris o MySQL.
Los fallos se dan en varios componentes de los productos: - Oracle Database 11g Release 1, versión 11.1.0.7
- Oracle Database 11g Release 2, versiones 11.2.0.3 y 11.2.0.4
- Oracle Database 12c Release 1, versión 12.1.0.1
- Oracle Fusion Middleware 11g Release 1, versiones 11.1.1.7 y 11.1.1.8
- Oracle Fusion Middleware 12c Release 1, versiones 12.1.1.0 y 12.1.2.0
- Oracle Fusion Applications, versiones 11.1.2 hasta la 11.1.8
- Oracle Access Manager, versiones 10.1.4.3, 11.1.1.3.0, 11.1.1.5.0, 11.1.1.7.0, * 11.1.2.0.0, 11.1.2.1.0 y 11.1.2.2.0
- Oracle Containers for J2EE, versión 10.1.3.5
- Oracle Data Integrator, versión 11.1.1.3.0
- Oracle Endeca Server, versión 2.2.2
- Oracle Event Processing, versión 11.1.1.7.0
- Oracle Identity Analytics, versión 11.1.1.5, Sun Role Manager, versión 5.0
- Oracle OpenSSO, versión 8.0 Update 2 Patch 5
- Oracle OpenSSO Policy Agent, versión 3.0-03
- Oracle WebCenter Portal, versiones 11.1.1.7 y 11.1.1.8
- Oracle WebLogic Server, versiones 10.0.2.0, 10.3.6.0, 12.1.1.0 y 12.1.2.0
- Oracle Hyperion Common Admin, versiones 11.1.2.2 y 11.1.2.3
- Oracle E-Business Suite Release 11i y 12i
- Oracle Agile PLM Framework, versiones 9.3.1.1 y 9.3.3.0
- Oracle Agile Product Lifecycle Management for Process, versiones 6.0.0.7 y 6.1.1.3
- Oracle Transportation Management, versiones 6.3 y 6.3.4
- Oracle PeopleSoft Enterprise CS Campus Self Service, versión 9.0
- Oracle PeopleSoft Enterprise HRMS Talent Acquisition Manager, versiones 8.52 y 8.53
- Oracle PeopleSoft Enterprise PT Tools, versiones 8.52 y 8.53
- Oracle Siebel UI Framework, versiones 8.1.1 y 8.2.2
- Oracle iLearning, versiones 6.0 y 6.1
- Oracle JavaFX, versión 2.2.51
- Oracle Java SE, versiones 5.0u61, 6u71, 7u51 y 8
- Oracle Java SE Embedded, versión 7u51
- Oracle JRockit, versiones R27.8.1 y R28.3.1
- Oracle Solaris, versiones 9, 10 y 11.1
- Oracle Secure Global Desktop, versiones 4.63, 4.71, 5.0 y 5.1
- Oracle VM VirtualBox, versiones anteriores a 3.2.22, 4.0.24, 4.1.32, 4.2.24 y 4.3.10
- Oracle MySQL Server, versiones 5.5 y 5.6
A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas:
- Dos nuevas vulnerabilidades corregidas en Oracle Database Server, que afectan al componente Core RDBMS.
- Otras 20 vulnerabilidades afectan a Oracle Fusion Middleware. 13 de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Oracle Access Manager, Oracle Containers for J2EE, Oracle Data Integrator, Oracle Endeca Server, Oracle Event Processing, Oracle Identity Analytics, Oracle OpenSSO, Oracle WebCenter Portal y Oracle WebLogic Server.
- Tres actualizaciones afectan a Oracle Hyperion, dos de ellas podrían ser explotadas por un atacante remoto sin autenticar. El todos los casos el componente afectado es Hyperion Common Admin.
- Dentro de Oracle Applications, 10 parches son para Oracle Supply Chain Products Suite, ocho para productos Oracle PeopleSoft, uno para Oracle Siebel CRM y uno para iLearning.
- En lo referente a Oracle Java SE se incluyen 37 nuevos parches de seguridad. 35 de las vulnerabilidades podrían ser explotadas por un atacante remoto sin autenticar.
- 14 nuevas vulnerabilidades afectan a MySQL Server, dos de ellas explotables de forma remota sin autenticación. Los componentes
- Esta actualización también incluye tres parches que afectan a Solaris en sus versiones 9, 10 y 11.1 aunque ninguno de ellos es explotable remotamente sin autenticación (uno de ellos solo afecta a las plataformas SPARC64-X).
Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial en:
Oracle Critical Patch Update Advisory – April 2014
Más información:
Oracle Critical Patch Update Advisory – April 2014
Antonio Ropero
Twitter: @aropero
Deja un comentario