El primer boletín de seguridad del año para Oracle, de los cuatro de frecuencia trimestral que tiene planificado para 2013, contiene parches para 86 vulnerabilidades diferentes en múltiples productos.
Los productos que reciben estas actualizaciones se encuentran en el siguiente listado:
- Oracle Database
Oracle Database 11g Release 2, versiones 11.2.0.2, 11.2.0.3
Oracle Database 11g Release 1, versión 11.1.0.7
Oracle Database 10g Release 2, versiones 10.2.0.3, 10.2.0.4, 10.2.0.5
Oracle Database Mobile Server, versión 11.1.0.0
Oracle Database Lite Server, versión 10.3.0.3 - Fusion Middleware
Oracle Access Manager/Webgate, versiones 10.1.4.3.0, 11.1.1.5.0, 11.1.2.0.0
Oracle GoldenGate Veridata, versión 3.0.0.11.0
Management Pack for Oracle GoldenGate, versión 11.1.1.1.0
Oracle Outside In Technology, versiones 8.3.7, 8.4
Oracle WebLogic Server, versiones 9.2.4, 10.0.2, 10.3.5, 10.3.6, 12.1.1
- Oracle Enterprise Manager Grid Control
Application Performance Management versiones 6.5, 11.1, 12.1.0.2
Enterprise Manager Grid Control 11g Release 1, versión 11.1.0.1
Enterprise Manager Grid Control 10g Release 1, versión 10.2.0.5
Enterprise Manager Plugin for Database 12c Release 1, versiones 12.1.0.1, 12.1.0.2
- Oracle E-Business Suite
Oracle E-Business Suite Release 12, versiones 12.0.6, 12.1.1, 12.1.2, 12.1.3
Oracle E-Business Suite Release 11i, versión 11.5.10.2
- Oracle Supply Chain Products Suite
Oracle Agile PLM Framework, versión 9.3.1.1
- Oracle PeopleSoft
Oracle PeopleSoft HRMS, versiones 9.0, 9.1
Oracle PeopleSoft PeopleTools, versiones 8.51, 8.52
- Oracle JD Edwards
Oracle JD Edwards EnterpriseOne Tools, versiones 8.9, 9.1, SP24 - Oracle Siebel
Oracle Siebel CRM, versiones 8.1.1, 8.2.2
- Oracle Sun
Oracle Sun Product Suite
- Oracle Virtualization
Oracle VM VirtualBox, versiones 4.0, 4.1, 4.2
- Oracle MySQL
Oracle MySQL Server, versiones 5.1.66 y anteriores, 5.5.28 y anteriores.
La mayoría de las vulnerabilidades que aloja este boletín se catalogan en importancia media-baja. Un gran número son provocadas por fallos en el protocolo HTTP.
Las excepciones más notables se encuentran entre aquellas que afectan a las bases de datos (Database Server y MySQL Server), que podrían permitir a un atacante remoto tomar el control del sistema. En especial, las vulnerabilidades CVE-2013-0361 y CVE-2013-0366, para Database Mobile/Lite, que pueden ser explotadas remotamente sin necesidad de autenticación, y que obtienen una puntuación CVSS de 10.
A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas:
-
Oracle Database (6), la primera de ellas afecta a Database Server y permite al atacante tomar el control del sistema. Aunque es explotable de forma remota y la complejidad de explotación es baja, la necesidad de autenticación simple y de poseer privilegios para la creación de tablas reduce su puntuación CVSS a 9 en sistemas Windows. Para sistemas *NIX, esta puntuación es menor (6,5), ya que el compromiso del sistema es sólo parcial.Sobre el resto, pertenecientes a la versión Mobile/Lite, son todas explotables remotamente sin necesidad de autenticación y afectan al protocolo HTTP. Además de las dos mencionadas anteriormente, encontramos tres fallos que comprometen por competo la confidencialidad del sistema.
- Fusion Middleware (7), 5 de ellas explotables remotamente sin autenticación. Entre estas, tres comprometen la disponibilidad y dos la integridad del sistema. Las otras dos son denegaciones de servicio solo explotables de manera local. Todas comprometen el sistema solo parcialmente.
- Enterprise Manager Grid Control (13), todas afectan al protocolo http y son explotables de forma remota sin necesidad de autenticación. Especial atención a la vulnerabilidad CVE-2013-0359, que puede provocar el compromiso parcial de la confidencialidad, integridad y disponibilidad del sistema. El resto solo afectan, también parcialmente, a la integridad.
- E-Business Suite (9), Cuatro vulnerabilidades relacionadas con la disponibilidad del sistema, dos de ellas explotables de forma remota.
- Oracle Supply Chain (1), Esta se aloja en el componente Oracle Agile PLM Framework, en el protocolo HTTP y con baja puntuación CVSS (2,1) en parte debido a su alta complejidad de acceso, su necesidad de autenticación y su bajo impacto (parcial para la confidencialidad).
- PeopleSoft (12), todas relacionadas con el protocolo HTTP. 7 de ellas pueden explotarse de forma remota sin necesidad de credenciales, suponiendo estas en su mayoría un compromiso parcial de la integridad del sistema.
- Oracle JD Edwards (1), de importancia baja y no explotable remotamente, supone solo un compromiso parcial de la confidencialidad.
- Siebel CRM (10), todas relacionadas con el protocolo HTTP. Y la mitad de ellas explotables remotamente sin autenticación. Principalmente del tipo denegación de servicio o revelación de información.
- Oracle Sun Products (8), siendo 7 para Solaris, explotables solo de manera local. De estas, tres implican un compromiso total del sistema. La restante afecta al Common Array Manager y es explotable a través de la red sin necesidad de credenciales, pudiendo ser utilizada para revelar información sensible.
- Oracle Virtualization (1), de puntuación baja y que afecta a la aplicación de virtualización VirtualBox. Solo explotables localmente.
- Oracle MySQL Product Suite (18), en su mayoría denegaciones de servicio que podrían afectar solo a la aplicación o al sistema al completo. Destacan las vulnerabilidades CVE-2012-5611 y CVE-2012-5612, que podrían provocar un compromiso total del sistema en Windows (parcial en *nix, con una puntuación CVSS de 6,5).
Para más información sobre las vulnerabilidades solucionadas y la aplicación de los parches, se recomienda visitar el sitio oficial del boletín.
Más información:
Oracle Critical Patch Update Advisory – January 2013
Francisco López
