Oracle ha publicado un conjunto de 41 parches
para diversos productos de la casa que solventan una larga lista de
vulnerabilidades sobre las que apenas han dado detalles concretos. Las
consecuencias son que atacantes locales y remotos pueden provocar
denegaciones de servicio, ejecutar código arbitrario, tener acceso de
escritura y lectura a datos sensibles, perpetrar ataques de inyección
SQL y eludir restricciones de seguridad. Los fallos se dan en varios
componentes de los productos.
Los productos afectados son:
Oracle Database 11g, versión 11.1.0.6
Oracle Database 10g Release 2, versiones 10.2.0.2, 10.2.0.3
Oracle Database 10g, versión 10.1.0.5
Oracle Database 9i Release 2, versiones 9.2.0.8, 9.2.0.8DV
Oracle Application Server 10g Release 3 (10.1.3), versiones 10.1.3.0.0,
10.1.3.1.0, 10.1.3.3.0
Oracle Application Server 10g Release 2 (10.1.2), versiones 10.1.2.0.2,
10.1.2.1.0, 10.1.2.2.0
Oracle Application Server 10g (9.0.4), versión 9.0.4.3
Oracle Collaboration Suite 10g, versión 10.1.2
Oracle E-Business Suite Release 12, versiones 12.0.4
Oracle E-Business Suite Release 11i, versiones 11.5.10.2
Oracle PeopleSoft Enterprise PeopleTools versiones 8.22, 8.48, 8.49
Oracle PeopleSoft Enterprise HCM versiones 8.8 SP1, 8.9, 9.0
Oracle Siebel SimBuilder versiones 7.8.2, 7.8.5
De las 41 correcciones:
* 17 afectan a Oracle Database. Una de las cuales no requieren un
usuario y contraseña válidos para poder ser aprovechadas. Los
componentes afectados son:
Oracle Enterprise Manager, Advanced Queuing, Change Data Capture, Oracle
Spatial, Authentication, Oracle Ultra Search, Core RDBMS, Oracle Net
Services, Data Pump, Export, Query Optimizer, Audit.
* Tres afectan a Oracle Application Server las cuales no requieren
usuario y contraseña válidos para poder ser aprovechadas. Una de ellas
es aplicable a las instalaciones de cliente. Los componentes afectados
son: Oracle Jinitiator, Oracle Enterprise Manager, Oracle Dynamic
Monitoring Service, Oracle Portal, Oracle Ultra Search.
* 11 afectan a Oracle E-Business Suite. Siete de ellas no requieren un
usuario y contraseña válidos para poder ser aprovechadas. Los
componentes afectados son: Oracle Advanced Pricing, Oracle Application
Object Library, Oracle Applications Framework, Oracle Applications
Manager, Oracle Applications Technology Stack.
* Una afecta a Oracle Enterprise Manager. Requiere un usuario y
contraseña válido para poder ser aprovechada.
* Tres afectan a Oracle PeopleSoft Enterprise y JD Edwards
EnterpriseOne. Ninguna de las cuales no requieren un usuario y
contraseña válidos para poder ser aprovechadas. Los componentes
afectados son: PeopleSoft PeopleTools, PeopleSoft HCM Recruiting,
PeopleSoft HCM ePerformance.
* Seis afectan a Oracle Siebel Enterprise. Tres de las cuales no
requieren un usuario y contraseña válidos para poder ser aprovechadas.
Los componentes afectados son: Siebel SimBuilder.
Para comprobar las matrices de productos afectados, gravedad y la
disponibilidad de parches, es necesario comprobar la notificación
oficial:
* Oracle Critical Patch Update - April 2008
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2008.html
Oracle Critical Patch Update April 2008 Documentation Map:
http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=558178.1
Fuente: http://www.hispasec.com/unaaldia/3465/
No hay comentarios:
Publicar un comentario