Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica su boletín de seguridad de enero. Contiene parches para 248 vulnerabilidades diferentes en múltiples productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL.
Los fallos se dan en varios componentes de los productos:
- Oracle Database Server, versiones 11.2.0.4, 12.1.0.1 y 12.1.0.2
- Oracle GoldenGate, versiones 11.2 y 12.1.2
- Oracle BI Publisher, versiones 11.1.1.7.0, 11.1.1.9.0 y 12.2.1.0.0
- Oracle Business Intelligence Enterprise Edition, versiones 11.1.1.7.0 y 11.1.1.9.0
- Oracle Endeca Server, versiones 7.3.0.0, 7.4.0.0, 7.5.0.0 y 7.6.0.0
- Oracle Fusion Middleware, versiones 10.1.3.5, 11.1.1.7, 11.1.1.8, 11.1.1.9, 11.1.2.2, 11.1.2.3, 12.1.2.0, 12.1.3.0 y 12.2.1
- Oracle GlassFish Server, versión 3.1.2
- Oracle Identity Federation, versiones 11.1.1.7 y 11.1.2.2
- Oracle Outside In Technology, versiones 8.5.0, 8.5.1 y 8.5.2
- Oracle Tuxedo, versión 12.1.1.0
- Oracle Web Cache, versiones 11.1.1.7.0 y 11.1.1.9.0
- Oracle WebCenter Sites, versiones 7.6.2 y 11.1.1.8.0
- Oracle WebLogic Portal, versión 10.3.6
- Oracle WebLogic Server, versiones 10.3.6, 12.1.2, 12.1.3 y 12.2.1
- Enterprise Manager Base Platform, versiones 11.1.0.1, 11.2.0.4, 12.1.0.4 y 12.1.0.5
- Enterprise Manager Ops Center, versiones prior to 12.1.4, 12.2.0, 12.2.1 y 12.3.0
- Oracle Application Testing Suite, versiones 12.4.0.2 y 12.5.0.2
- Application Mgmt Pack for E-Business Suite, versión 12.1, 12.2
- Oracle E-Business Suite, versiones 11.5.10.2, 12.1, 12.1.1, 12.1.2, 12.1.3, 12.2, 12.2.3, 12.2.4 y 12.2.5
- Oracle Agile Engineering Data Management, versiones 6.1.2.2, 6.1.3.0 y 6.2.0.0
- Oracle Agile PLM, versiones 9.3.1.1, 9.3.1.2, 9.3.2 y 9.3.3
- Oracle Configurator, versiones 11.5.10.2, 12.1 y 12.2
- PeopleSoft Enterprise HCM Global Payroll Switzerland, versiones 9.1 y 9.2
- PeopleSoft Enterprise PeopleTools, versiones 8.53, 8.54 y 8.55
- PeopleSoft Enterprise SCM eProcurement, versiones 9.1 y 9.2
- PeopleSoft Enterprise SCM Order Management, versiones 9.1 y 9.2
- PeopleSoft Enterprise SCM Purchasing, versiones 9.1 y 9.2
- JD Edwards EnterpriseOne Tools, versiones 9.1 y 9.2
- Oracle iLearning, versiones 6.0 y 6.1
- Oracle Fusion Applications, versiones 11.1.2 a 11.1.10
- Oracle Communications Converged Application Server – Service Controller, versión 6.1
- Oracle Communications EAGLE LNP Application Processor, versión 10.0
- Oracle Communications Online Mediation Controller, versión 6.1
- Oracle Communications Service Broker, versiones 6.0 y 6.1
- Oracle Communications Service Broker Engineered System Edition, versión 6.0
- MICROS CWDirect, versiones 12.5, 13.0, 14.0, 15.0, 16.0, 17.0 y 18.0
- Oracle Retail Open Commerce Platform Cloud Service, versiones 3.5, 4.5, 4.7 y 5.0
- Oracle Retail Order Broker Cloud Service, versiones 4.0 y 4.1.
- Oracle Retail Order Management System Cloud Service, versiones 3.5, 4.5, 4.7, 5.0 y 15.0
- Oracle Retail Point-of-Service, versiones 13.4, 14.0 y 14.1
- Oracle Java SE, versiones 6u105, 7u91 y 8u66
- Oracle Java SE Embedded, versión 8u65
- Oracle JRockit, versión R28.3.8
- Oracle Switch ES1-24, versiones anteriores a 1.3.1.13
- Solaris, versiones 10 y 11
- Solaris Cluster, versiones 3.3, 4 y 4.2
- Sun Blade 6000 Ethernet Switched NEM 24P 10GE, versiones anteriores a 1.2.2.13
- Sun Network 10GE Switch 72p, versiones anteriores a 1.2.2.15
- Oracle Secure Global Desktop, versiones 4.63, 4.71 y 5.2
- Oracle VM VirtualBox, versiones anteriores a 4.0.36, anteriores a 4.1.44, anteriores a 4.2.36, anteriores a 4.3.36 y anteriores a 5.0.14
- MySQL Server, versiones 5.5.46 y anteriores, 5.6.27 y anteriores y 5.7.9
A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas:
- Siete nuevas vulnerabilidades corregidas en Oracle Database Server, ninguna explotable remotamente sin autenticación. Afectan a los componentes: Java VM, Workspace Manager, XDB – XML Database, Database Vault, Security, XDB – XML Database y XML Developer’s Kit for C. Otras tres vulnerabilidades afectan a Oracle GoldenGate (todas ellas explotables remotamente sin autenticación).
- Otras 27 vulnerabilidades afectan a Oracle Fusion Middleware. 17 de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Oracle WebCenter Sites, Oracle WebLogic Portal, Oracle WebLogic Server, Oracle GlassFish Server, Oracle Business Intelligence Enterprise Edition, Oracle Endeca Server, Oracle Tuxedo, Oracle BI Publisher, Web Cache, Oracle Identity Federation y Oracle Outside In Technology.
- Esta actualización contiene 33 nuevas actualizaciones de seguridad para Oracle Enterprise Manager Grid Control, 23 de ellas explotables remotamente sin autenticación.
- Dentro de Oracle Applications, 78 parches son para Oracle E-Business Suite, cinco parches son para la suite de productos Oracle Supply Chain, 11 para productos Oracle PeopleSoft, 7 para Oracle JD Edwards Products y uno para Oracle iLearning.
- De forma similar dentro de la gama de aplicaciones Oracle Industry, cinco para Oracle Industry Applications y nueve para Oracle Retail Applications.
- En lo referente a Oracle Java SE se incluyen ocho nuevos parches de seguridad, siete de ellos referentes a vulnerabilidades que podrían ser explotadas por un atacante remoto sin autenticar.
- Para la suite de productos Oracle Sun Systems se incluyen 23 nuevas actualizaciones, siete de ellas afectan a Solaris.
- 22 nuevas vulnerabilidades afectan a MySQL Server (solo una de ellas podría ser explotada por un atacante remoto sin autenticar).
- Esta actualización también contiene un parche para para Oracle Virtualization.
Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial en:
Oracle Critical Patch Update Advisory – January 2016
Más información:
Oracle Critical Patch Update Advisory – January 2016
Antonio Ropero
Twitter: @aropero
