Inicio / Alerta Temprana / Avisos Seguridad / Oracle publica las actualizaciones de seguridad de Abril de 2009.

Oracle publica las actualizaciones de seguridad de Abril de 2009.

Fecha de publicación: 
15/04/2009
Importancia: 
3 - Media
Recursos afectados: 
  • Oracle Database 11g, versión 11.1.0.6, 11.1.0.7, 10g, versión 10.1.0.5 y 10g Release 2, versiones 10.2.0.3, 10.2.0.4, 9i Release 2, versiones 9.2.0.8, 9.2.0.8DV
  • Oracle Audit Vault, versión 10.2.3
  • Oracle Application Server 10g Release 2 (10.1.2), versión 10.1.2.3.0
  • Oracle Outside In SDK HTML Export 8.2.2, 8.3.0
  • Oracle XML Publisher 5.6.2, 10.1.3.2, 10.1.3.2.1
  • Oracle BI Publisher 10.1.3.3.0 10.1.3.3.1, 10.1.3.3.2, 10.1.3.3.3, 10.1.3.4
  • Oracle E-Business Suite Release 11i, versión 11.5.10.2 y Release 12, versión 12.0.6
  • PeopleSoft Enterprise PeopleTools versiones: 8.49
  • PeopleSoft Enterprise HRMS versiones: 8.9 y 9.0
  • Oracle WebLogic Portal (formerly BEA WebLogic Portal) 10.0 hasta la 10.0 MP1, 10.2 GA, 10.3 GA, 9.0 GA, 9.1 GA,9.2 hasta la 9.2 MP3, 8.1 hasta la 8.1SP6, 7.0 hasta la 7.0SP7
  • Oracle Data Service Integrator 10.3.0 and Oracle AquaLogic Data Services Platform 3.2, 3.0.1, 3.0
  • Oracle JRockit R27.6.2 y anteriores (JDK/JRE 6, 5, 1.4.2)
Descripción: 

Oracle ha publicado una serie de actualizaciones de seguridad trimestral para sus productos que solucionan 43 vulnerabilidades.

Impacto: 

Varía en función del producto, en algunos de ellos el impacto es crítico ya que las vulnerabilidades son explotables en remoto sin necesidad de autenticación, es decir, son explotables desde Internet sin necesidad de facilitar ningún nombre de usuario y contraseña; sin embargo, para otros productos el impacto es menor ya que las vulnerabilidades no pueden ser explotadas en remoto sin autenticación.

El impacto para cada producto es el siguiente:

Crítico:

  • Oracle Times Ten Data Server
  • Oracle Secure Backup
  • Oracle Application Server
  • Oracle WebLogic Server

No crítico:

  • Oracle Database
  • Oracle Collaboration Suite
  • Oracle E-Business Suite
  • Oracle Enterprise Manager
  • Oracle PeopleSoft Enterprise
  • JD Edwards EnterpriseOne
Solución: 

Actualizar los productos de Oracle que tenga instalados. Debido a que varias de los problemas solucionados son críticos, se recomiendo actualizar el sistema en la mayor brevedad posible.

Puede hacerlo desde la página de actualizaciones de Oracle

Detalle: 

Los problemas solucionados para cada producto son:

Oracle Database

Esta actualización soluciona 16 vulnerabilidades críticas. Dos de estas vulnerabilidades pueden ser explotadas de forma remota sin autenticación, esto es, sin necesidad de un nombre y una contraseña. Ninguna de estas son aplicables al cliente de la base de datos, solo la instalaciones. Hay componentes con una puntuación en cuanto a la importancia de la vulnerabilidad de 9.0 puntos en la escala CVSS.

Los componentes afectados de vulnerabilidades que están solucionados en esta actualización crítica son:

  • Advanced Queuing
  • Application Express
  • Cluster Ready Services
  • Core RDBMS
  • Database Vault
  • Listener
  • Password Policy
  • Resource Manager
  • SQLX Functions
  • Workspace Manager

Oracle Application Server

Se resuelven 12 vulnerabilidades, de ellas 3 pueden ser explotadas de forma remota sin autenticación. Estas vulnerabilidades no afectan a instalaciones del cliente. La mayor puntuación en cuanto a la importancia de la vulnerabilidad es de 7.5 puntos en la escala CVSS.

Los componentes afectados de vulnerabilidades que están solucionados en esta actualización crítica son:

  • BI Publisher
  • OPMN
  • Outside In Technology
  • Oracle Portal

Oracle E-Business Suite and Applications

Se solucionan 3 vulnerabilidades, todas ellas podrían explotarse de forma remota y sin necesidad de un nombre de usuario u contraseña. Estas vulnerabilidades no afectan a instalaciones del cliente, solo a que han instalado Oracle Application Suite. La puntuación máxima de estas vulnerabilidades según el CVSS es 6.8 puntos.

Los componentes afectados de vulnerabilidades que están solucionados en esta actualización crítica son:

  • Oracle Application Object Library
  • Oracle Applications Framework
  • Oracle Applications Technology Stack

Oracle PeopleSoft Enterprise and JD Edwards EnterpriseOne

Se solucionan 4 vulnerabilidades, de ellas 2 pueden ser explotadas de forma remota sin autenticación. Estas vulnerabilidades no afectan a instalaciones del cliente. La mayor puntuación en cuanto a la importancia de la vulnerabilidad es de 6.4 puntos en la escala CVSS.

Los componentes afectados de vulnerabilidades que están solucionados en esta actualización crítica son:

  • PeopleSoft Enterprise HRMS - eBenefits
  • PeopleSoft Enterprise PeopleTools

Oracle BEA Products

Se solucionan 8 vulnerabilidades, de ellas 5 pueden ser explotadas de forma remota sin autenticación. Estas vulnerabilidades no afectan a instalaciones del cliente. La mayor puntuación en cuanto a la importancia de la vulnerabilidad es máxima (10.0 puntos) en la escala CVSS en una que afecta a Oracle JRockit y otra en Oracle WebLogic Server.

Los componentes afectados de vulnerabilidades que están solucionados en esta actualización crítica son:

  • Oracle Data Service Integrator and AquaLogic Data Services Platform
  • Oracle JRockit
  • Oracle WebLogic Portal
  • Oracle WebLogic Server

Para ampliar la información consultar el aviso de Oracle (Apartado de Referencias).

Para consultar las vulnerabilidades (por CVE) se puede hacer, según su estado:

ACTUALIZACION: 16/04/2009

Ya se han aceptado las CVE candidatas, y se han traducido al castellano por parte del INTECO.