Grupo de parches de julio para diversos productos Oracle‏

16.07.09 @ 03:54:16. Archivado en Vulnerabilidades, Actualizaciones, Seguridad informática

una-al-dia

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

-------------------------------------------------------------------
Hispasec - una-al-día 16/07/2009
Todos los días una noticia de seguridad www.hispasec.com
-------------------------------------------------------------------

Grupo de parches de julio para diversos productos Oracle
--------------------------------------------------------

Oracle ha publicado un conjunto de 33 parches para diversos productos de la casa que solventan una larga lista de vulnerabilidades sobre las que apenas han dado detalles concretos. Las consecuencias son que atacantes locales y remotos pueden provocar denegaciones de servicio, ejecutar código arbitrario, tener acceso de escritura y lectura a datos sensibles, perpetrar ataques de inyección SQL y eludir restricciones de seguridad.

Los fallos se dan en varios componentes de los productos:
* Oracle Database 11g, versión 11.1.0.6, 11.1.0.7
* Oracle Database 10g Release 2, versiones 10.2.0.3, 10.2.0.4
* Oracle Database 10g, versión 10.1.0.5
* Oracle Database 9i Release 2, versiones 9.2.0.8, 9.2.0.8DV
* Oracle Application Server 10g Release 2 (10.1.2), versión 10.1.2.3.0
* Oracle Application Server 10g Release 3 (10.1.3), versiones 10.1.3.3.0, 10.1.3.4.0
* Oracle Identity Management 10g, versión 10.1.4.0.1, 10.1.4.2.0, 10.1.4.3.0
* Oracle E-Business Suite Release 12, versión 12.1
* Oracle E-Business Suite Release 12, versión 12.0.6
* Oracle E-Business Suite Release 11i, versión 11.5.10.2
* Oracle Enterprise Manager Database Control 11, versión 11.1.0.6, 11.1.0.7
* Oracle Enterprise Manager Grid Control 10g Release 4, versión 10.2.0.4
* PeopleSoft Enterprise PeopleTools versiones: 8.49
* PeopleSoft Enterprise HRMS versiones: 8.9 y 9.0
* Siebel Highly Interactive Client versiones: 7.5.3, 7.7.2, 7.8, 8.0, 8.1
* Oracle WebLogic Server 10.3, 10.0MP1
* Oracle WebLogic Server 9.0 GA, 9.1 GA, 9.2 hasta 9.2 MP3
* Oracle WebLogic Server 8.1 hasta 8.1 SP6
* Oracle WebLogic Server 7.0 hasta 7.0 SP7
* Oracle Complex Event Processing 10.3 y WebLogic Event Server 2.0
* Oracle JRockit R27.6.3 y anteriores (JDK/JRE 6, 5, 1.4.2)

De las 33 correcciones:

* 10 afectan a Oracle Database. Tres de las cuales no requieren un usuario y contraseña válidos para poder ser aprovechadas. Ninguna es aplicable a las instalaciones de cliente. 2 afectan a Oracle Secure Backup.Una de las cuales no requieren un usuario y contraseña válidos para poder ser aprovechadas. Los componentes afectados son: Network Foundation, Network Authentication, Advanced Replication, Config Management, Upgrade, Virtual Private Database, Listener, Secure Enterprise Search, Core RDBMS y Auditing.

* Dos vulnerabilidades para Oracle Secure Enterprise Search 10g con Oracle Secure Enterprise Search.

* Dos afectan a Oracle Application Server. Las dos requieren un usuario y contraseña válidos para poder ser aprovechadas. Ninguna es aplicable a las instalaciones de cliente. Los componentes afectados son: Oracle Security Developer Tools y HTTP Server.

* 5 afectan a Oracle Applications. 3 no requieren un usuario y
contraseña válidos para poder ser aprovechadas. Los componentes
afectados son: Oracle Application Object Library, Application Install,
Oracle Applications Framework, Oracle iStore y Oracle Applications
Manager.

* Dos afectan a Oracle Enterprise Manager. Todas requieren un usuario y contraseña válidos para poder ser aprovechadas. Los componentes afectados son: Config Management.

* Tres afectan a Oracle PeopleSoft and JDEdwards Suite. Una no requiere un usuario y contraseña válidos para poder ser aprovechada. Los componentes afectados son: PeopleSoft Enterprise FMS, PeopleSoft
Enterprise PeopleTools - Enterprise Portal y PeopleSoft Enterprise HRMS eProfile Manager.

* Una afecta a Oracle Siebel Suite. Requiere un usuario y contraseña válidos para poder ser aprovechada. Los componentes afectados son: Highly Interactive Client

* Cinco afectan a Oracle BEA Products Suite. Ninguna requiere un usuario y contraseña válidos para poder ser aprovechada. Los componentes afectados son: Jrockit, Oracle Complex Event Processing, WebLogic Server.

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial:

Oracle Critical Patch Update Advisory - July 2009
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2009.html

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3918/comentar

Más información:

Oracle Critical Patch Update Advisory - July 2009
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2009.html

Sergio de los Santos
ssantos@hispasec.com

Tal día como hoy:
-----------------

16/07/2008: Intento de robo de datos basado en el portal segundamano.es
http://www.hispasec.com/unaaldia/3553

16/07/2007: Denegación de servicio a través de ficheros RAR en ClamAV
http://www.hispasec.com/unaaldia/3187

16/07/2006: Secuestro de un portátil a través de las vulnerabilidades en los controladores de dispositivo
http://www.hispasec.com/unaaldia/2822

16/07/2005: Múltiples vulnerabilidades en diversos productos Oracle
http://www.hispasec.com/unaaldia/2457

16/07/2004: Actualización de seguridad para ZOPE
http://www.hispasec.com/unaaldia/2091

16/07/2003: Vulnerabilidad en StoreFront 6.x y anteriores
http://www.hispasec.com/unaaldia/1725

16/07/2002: La NSA publica una actualización de su distribución Linux
http://www.hispasec.com/unaaldia/1360

16/07/2001: Un control ActiveX deja vulnerable a Outlook
http://www.hispasec.com/unaaldia/995

16/07/2000: Campaña Nacional Anti Virus
http://www.hispasec.com/unaaldia/629

16/07/1999: Joven detenido acusado de intentar entrar en un ordenador del Ministerio de Interior
http://www.hispasec.com/unaaldia/263

-------------------------------------------------------------------
Claves PGP en http://www.hispasec.com/directorio/hispasec
-------------------------------------------------------------------
Bajas: mailto:unaaldia-request@hispasec.com?subject=unsubscribe
Altas: mailto:unaaldia-request@hispasec.com?subject=subscribe
-------------------------------------------------------------------
(c) 2009 Hispasec http://www.hispasec.com/copyright
-------------------------------------------------------------------

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (MingW32)

iQEcBAEBAgAGBQJKXkJVAAoJEFDXatfcTK/r5WYH/j0hf6Wc6wiH1seBPIu30sH4
UJCpBZrAI+ukAgqTLX8sNkRhuJnIBezzyww0HuGZAmoj9GimD6eFQvXGuqOcoybP
ajPmKzf+naU3nRJPX2VBl5/B+ZCx0SvzX5lPC6SUHZeflTOmMrj3T0DBAWqEc9HT
rIqwy6J1Ia3T1l/WuyKOyZpglndk1AGK56ibM5SHBMFeSfjWiQB8VJ58qfqTWWMt
HMte1tTlEWbFuu59vf9ZT56/ZG+4LJk/aczo/mTgUf2F1Nb0dhCk/iAAd+qu8vDH
39lSuJpUfWLsBUIM6DJuVdJhk4YAmr6vYKlkw7etAIKiTg393BSucM1qTZy9VSI=
=Rsj/
-----END PGP SIGNATURE-----

• Trackback (0)

Comentarios:

Aún no hay Comentarios para este post...

Se muestran únicamente los últimos 40 comentarios de cada post.

Los comentarios para este post están cerrados.