Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica su boletín de seguridad de enero. Contiene parches para 237 vulnerabilidades diferentes, en múltiples productos y de diferentes familias: algunas de ellas podrían permitir a un atacante remoto sin autenticar hacerse con el control del sistema en el caso de MySQL Enterprise Monitor, por ejmplo y llevar a cabo una denegación de servicio en MySQL Server.
Los fallos se dan en varios componentes de múltiples productos y como es habitual la lista completa de productos afectados es cada vez más extensa. Se concreta en las siguientes familias:
@page { margin: 2cm } p { margin-bottom: 0.25cm; line-height: 120% } a:link { so-language: zxx }
-
Application Express, versiones anteriores a 5.1.4.00.08
-
Agile Material y Equipment Management for Pharmaceuticals, versiones 9.3.3, 9.3.4
-
Converged Commerce, versión 16.0.1
-
Hyperion BI+, versión 11.1.2.4
-
Hyperion Data Relationship Management, versión 11.1.2.4.330
-
Integrated Lights Out Manager (ILOM), versiones 3.x, 4.x
-
Java Advanced Management Console, versión 2.8
-
Java ME SDK, versión 8.3
-
JD Edwards EnterpriseOne Tools, versión 9.2
-
MICROS Handheld Terminal, versiones anteriores a BSP 02.13.0701 (070116)
-
MICROS Relate CRM Software, versiones 10.8.x, 11.4.x, 15.0.x
-
MICROS Retail XBRi Loss Prevention, versiones 10.0.1, 10.5.0, 10.6.0, 10.7.0, 10.8.0, 10.8.1
-
MySQL Connectors, versiones 5.3.9, 6.9.9, 6.10.4 y sus versiones anteriores.
-
MySQL Enterprise Monitor, versiones 3.3.6.3293, 3.4.4.4226, 4.0.0.5135 y sus versiones anteriores.
-
MySQL Server, versions 5.5.58, 5.6.38, 5.7.20 y sus versiones anteriores.
-
Oracle Access Manager, versiones 10.1.4.3.0, 11.1.2.3.0
-
Oracle Agile Engineering Data Management, PLM, PLM MCAD
-
Oracle Argus Safety, versiones 7.x, 8.0.x, 8.1
-
Oracle Autovue for Agile Product Lifecycle Management, versiones 21.0.0, 21.0.1
-
Oracle Banking Corporate Lending, versiones 12.3.0, 12.4.0
-
Oracle Banking Payments, versiones 12.3.0, 12.4.0
-
Oracle Business Intelligence Enterprise Edition, versiones 11.1.1.7.0, 11.1.1.9.0, 12.2.1.2.0, 12.2.1.3.0
-
Oracle Communications
-
Oracle Database Server, versiones 11.2.0.4, 12.1.0.2, 12.2.0.1
-
Oracle Directory Server Enterprise Edition, versión 11.1.1.7.0
-
Oracle E-Business Suite, versiones 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4, 12.2.5, 12.2.6, 12.2.7
-
Oracle Endeca Information Discovery Integrator, versiones 3.1.0, 3.2.0
-
Oracle Financial Services
-
Oracle FLEXCUBE
-
Oracle Fusion Applications, versiones 11.1.2 hasta la 11.1.9
-
Oracle Fusion Middleware, versiones 11.1.1.7, 11.1.1.9, 11.1.2.3, 12.1.3.0, 12.2.1.2, 12.2.1.3
-
Oracle Health Sciences Empirica
-
Oracle Hospitality
-
Oracle HTTP Server, versiones 11.1.1.7.0, 11.1.1.9.0, 12.1.3.0.0, 12.2.1.2.0, 12.2.1.3.0
-
Oracle Hyperion Planning, versión 11.1.2.4.007
-
Oracle Identity Manager
-
Oracle Internet Directory, versiones 11.1.1.7.0, 11.1.1.9.0, 12.2.1.3.0
-
Oracle iPlanet Web Server, versión 7.0
-
Oracle Java SE, versiones 6u171, 7u161, 8u152, 9.0.1
-
Oracle Java SE Embedded, versión 8u151
-
Oracle JDeveloper, versions 11.1.1.2.4, 11.1.1.7.0, 11.1.1.7.1, 11.1.1.9.0, 11.1.2.4.0, 12.1.3.0.0, 12.2.1.2.0
-
Oracle JRockit, versión R28.3.16
-
Oracle Mobile Security Suite, versión 3.0.1
-
Oracle Retail Assortment Planning, versión 14.1.3, 15.0.3, 16.0.1
-
Oracle Retail Convenience y Fuel POS Software, versión 2.1.132
-
Oracle Retail Customer Management y Segmentation Foundation, versiones 10.8.x, 11.4.x, 15.0.x, 16.0.x
-
Oracle Retail Fiscal Management, versión 14.1
-
Oracle Retail Merchandising System, versión 16.0
-
Oracle Retail Workforce Management, versiones 1.60.7, 1.64.0
-
Oracle Secure Global Desktop (SGD), versión 5.3
-
Oracle Transportation Management, versiones 6.2.11, 6.3.1, 6.3.2, 6.3.3, 6.3.4, 6.3.5, 6.3.6, 6.3.7, 6.4.1, 6.4.2, 6.4.3
-
Oracle Tuxedo System and Applications Monitor, versión 12.1.3.0.0
-
Oracle VM VirtualBox, versiones anteriores a 5.1.32, y 5.2.6
-
Oracle WebCenter Content, Portal, Sites y Server
-
Oracle X86 Servers, versiones SW 1.x, SW 2.x
-
OSS Support Tools, versiones anteriores a 2.11.33
-
PeopleSoft Enterprise FIN, FSCM, HCM, PRTL, SCM y PeopleTools
-
Primavera Unifier, versions 10.x, 15.x, 16.x, 17.x
-
Siebel Applications, versions 16.0, 17.0
-
Solaris, versiones 10, 11.3
-
Sun ZFS Storage Appliance Kit (AK), versiones anteriores a 8.7.13
A parte del listado comentado anteriormente, cabe destacar dos vulnerabilidades en el motor de base de datos MySQL:
La primera de ellas, CVE-2017-12617, para MySQL Enterprise Monitor, podría permitir a un usuario remoto sin autenticar hacerse con el control del sistema de base de datos.
La segunda de ellas, con el CVE-2018-2703, afectaría al plugin de autenticación sha256_password, y podría habilitar a un atacante remoto llevar a cabo una denegación de servicio en la fase de autenticación a través de un password especialmente grande.
Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial del boletín de Enero.
Más información:
Critical Patch Update – January 2018:
http://www.oracle.com/technetwork/security-advisory/cpujan2018-3236628.html
My Oracle Support Note 209768.1 (Acceso para usuarios registrados): https://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=209768.1
http://www.oracle.com/technetwork/security-advisory/cpujan2018-3236628.html
My Oracle Support Note 209768.1 (Acceso para usuarios registrados): https://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=209768.1
Deja una respuesta