Inicio / Alerta Temprana / Avisos Seguridad / Oracle publica las actualizaciones de seguridad de Abril de 2010

Oracle publica las actualizaciones de seguridad de Abril de 2010

Fecha de publicación: 
14/04/2010
Importancia: 
3 - Media
Recursos afectados: 
  • Oracle Database 11g Release 2 versión 11.2.0.1, 11g Release 1 versión 11.1.0.7, 10g Release 2, versiones 10.2.0.3 y 10.2.0.4, 10g version 10.1.0.5 y 9i Release 2 versiones 9.2.0.8 y 9.2.0.8DV.
  • Oracle Application Server 10gR2, version 10.1.2.3.0
  • Oracle Identity Management 10g, version 10.1.4.0.1 y 10.1.4.3
  • Oracle Collaboration Suite 10g, version 10.1.2.4
  • Oracle E-Business Suite Release 12 versiones 12.0.4, 12.0.5, 12.0.6, 12.1.1 y 12.1.2, Release 11i versiones 11.5.10 y 11.5.10.2
  • Oracle E-Business Suite
  • Oracle Transportation Manager, Versions: 5.5.05.07, 5.5.06.00 y 6.0.03
  • Oracle Agile - Engineering Data Management, Versión 6.1.1.0
  • PeopleSoft Enterprise PeopleTools, versiones 8.49 y 8.50
  • Oracle Communications Unified Inventory Management versión 7.1
  • Oracle Clinical Remote Data Capture Option 4.5.3 y 4.6
  • Oracle Thesaurus Management System 4.5.2, 4.6 y 4.6.1
  • Oracle Retail Markdown Optimization versión 13.1
  • Oracle Retail Place In-Season versión 12.2
  • Oracle Retail Plan In-Season versión 12.2
  • Oracle Sun Product Suite
Descripción: 

Oracle ha publicado la actualización trimestral de seguridad para sus productos, solucionan 47 vulnerabilidades en 7 productos.

Impacto: 

Varía en función del producto, en algunos de ellos el impacto es crítico ya que las vulnerabilidades son explotables en remoto sin necesidad de autenticación, es decir, son explotables desde Internet sin necesidad de facilitar ningún nombre de usuario y contraseña; sin embargo, para otros productos el impacto es menor ya que las vulnerabilidades no pueden ser explotadas en remoto sin autenticación.

Solución: 

Actualizar los productos de Oracle que tenga instalados. Debido a que varias de los problemas solucionados son críticos, se recomiendo actualizar el sistema en la mayor brevedad posible.

Puede hacerlo desde la página de actualizaciones de Oracle

Detalle: 

Los problemas solucionados para cada producto son:

Oracle Database

Esta actualización soluciona 8 vulnerabilidades. Solo una de ellas es explotable de forma remota sin necesidad de autenticación. Estas vulnerabilidades son: CVE-2010-0853, CVE-2010-0860, CVE-2010-0866, CVE-2010-0852, CVE-2010-0867, CVE-2010-0851, CVE-2010-0870 y CVE-2010-0854

Los componentes afectados de vulnerabilidades que están solucionados en esta actualización son:

  • Oracle Internet Directory
  • Core RDBMS
  • JavaVM
  • XML DB
  • XML DB
  • Change Data Capture
  • Audit

De estos componentes el más crítico de ellos tiene una puntuación CVSS Base Score de 7.5.

Oracle Fusion Middleware.

Esta actualización soluciona 5 vulnerabilidades, todas ellas pueden ser explotables de forma remota sin necesidad de autenticación. Son CVE-2010-0853, CVE-2010-0872, CVE-2010-0856, CVE-2010-0086 y CVE-2010-0855.

Los componentes afectados de vulnerabilidades para este producto son:

  • Oracle Internet Directory
  • Portal

En estos componentes la mayor puntuación CVSS Base Score es de 7.5.

Oracle Collaboration Suite

Esta actualización soluciona una vulnerabilidad, que puede ser explotable de forma remota sin necesidad de autenticación. La vulnerabilidad es: CVE-2010-0881.

El componente afectado por la vulnerabilidad para este producto es:

  • User Interface Components

La puntuación CVSS Base Score del componente afectado es de 4.3.

Oracle E-Business Suite and Applications

Esta actualización soluciona 8 vulnerabilidades, 6 de ellas pueden ser explotables de forma remota sin necesidad de autenticación. Las vulnerabilidades son: CVE-2010-0859, CVE-2010-0868, CVE-2010-0861, CVE-2010-0865, CVE-2010-0871, CVE-2010-0869, CVE-2010-0858 y CVE-2010-0857.

Los componentes afectados de vulnerabilidades para este producto son:

  • Oracle Application Object Library
  • Oracle iStore
  • Oracle HRMS (Self Service)
  • Oracle Agile Engineering Data Management
  • Oracle Application Object Library
  • Oracle Transportation Management
  • E-Business Intelligence
  • Oracle Workflow Cartridge

En estos componentes la mayor puntuación CVSS Base Score es de 6.4.

Oracle PeopleSoft Enterprise and JD Edwards EnterpriseOne

Esta actualización soluciona 4 vulnerabilidades, 2 de ellas pueden ser explotables de forma remota sin necesidad de autenticación. Las vulnerabilidades son CVE-2010-0880, CVE-2010-0877, CVE-2010-0878 y CVE-2010-0879.

El componente afectado por la vulnerabilidad es:

  • PeopleTools

La puntuación CVSS Base Score del componente afectado es de 6.4.

Oracle Industry Applications Product Suite

Esta actualización soluciona 6 vulnerabilidades, todas ellas pueden ser explotables de forma remota sin necesidad de autenticación. Las vulnerabilidades son: CVE-2010-0874, CVE-2010-0876, CVE-2010-0875, CVE-2010-0862, CVE-2010-0864 y CVE-2010-0863.

Los componentes afectados de vulnerabilidades para este producto son:

  • Communications - Oracle Communications Unified Inventory Management
  • Life Sciences - Oracle Clinical Remote Data Capture Option
  • Life Sciences - Oracle Thesaurus Management System
  • Retail - Oracle Retail Markdown Optimization
  • Retail - Oracle Retail Place In-Season

En estos componentes la mayor puntuación CVSS Base Score es de 4.3.

Oracle Sun Product Suite

Esta actualización soluciona 16 vulnerabilidades, 9 de ellas pueden ser explotables de forma remota sin necesidad de autenticación. Las vulnerabilidades son: CVE-2010-0888, CVE-2010-0897, CVE-2010-0882, CVE-2010-0896, CVE-2010-0885, CVE-2010-0894, CVE-2010-0891, CVE-2009-2404, CVE-2009-0688, CVE-2010-0889, CVE-2010-0453, CVE-2010-0893, CVE-2010-0895, CVE-2010-0890, CVE-2010-0883 y CVE-2010-0884.

Los componentes afectados de vulnerabilidades para este producto son:

  • Sun Ray Server Software
  • Sun Java System Directory Server
  • Solaris
  • Sun Convergence
  • Sun Java System Communications Express
  • Sun Java System Access Manager
  • Sun Management Center
  • Sun Java System Directory Server
  • Sun Convergence
  • Sun Cluster

En estos componentes la mayor puntuación CVSS Base Score es de 10.

Para ampliar la información consultar el aviso de Oracle (Apartado de Referencias).

Para consultar las vulnerabilidades (por CVE) se puede hacer, según su estado: