Inicio / Alerta Temprana / Avisos Seguridad / Oracle publica actualizaciones de seguridad de Enero de 2011

Oracle publica actualizaciones de seguridad de Enero de 2011

Fecha de publicación: 
19/01/2011
Importancia: 
4 - Alta
Recursos afectados: 
  • Oracle Database 11g Release 2, versión 11.2.0.1
  • Oracle Database 11g Release 1, versión 11.1.0.7
  • Oracle Database 10g Release 2, versiones 10.2.0.3, 10.2.0.4, 10.2.0.5
  • Oracle Database 10g Release 1, versión 10.1.0.5
  • Oracle Audit Vault 10g Release 2, versión 10.2.3.2
  • Oracle Secure Backup 10g Release 3, versión 10.3.0.2
  • Oracle Fusion Middleware, 11g Release 1, versiones 11.1.1.2.0, 11.1.1.3.0
  • Oracle Application Server 10g Release 2, versión 10.1.2.3.0
  • Oracle Beehive, versiones 2.0.1.0, 2.0.1.1, 2.0.1.2, 2.0.1.2.1, 2.0.1.3
  • Oracle BI Publisher, versiones 10.1.3.3.2, 10.1.3.4.0, 10.1.3.4.1, 11.1.1.3
  • Oracle Document Capture, versiones 10.1.3.4, 10.1.3.5
  • Oracle GoldenGate Veridata, versión 3.0.0.4
  • Oracle JRockit versiones, R27.6.7 y earlier (JDK/JRE 1.4.2, 5, 6), R28.0.1 y earlier (JDK/JRE 5, 6)
  • Oracle Outside In Technology, versión 8.3.0
  • Oracle WebLogic Server, versiones 7.0.7, 8.1.6, 9.0, 9.1, 9.2.3, 10.0.2, 10.3.2, 10.3.3
  • Oracle Enterprise Manager Suite Release 10, versión 10.2.0.5
  • Oracle Enterprise Manager Real User Experience Insight, versión RUEI 6.0
  • Oracle E-Business Suite Release 12, versiones 12.0.4, 12.0.5, 12.0.6, 12.1.1, 12.1.2, 12.1.3
  • Oracle E-Business Suite Release 11i, versión 11.5.10.2
  • Oracle Agile Core, versiones 9.3.0.2, 9.3.1
  • Oracle Transportation Manager, versiones 5.5, 6.0, 6.1, 6.2
  • Oracle PeopleSoft Enterprise CRM, versiones 8.9, 9.0, 9.1
  • Oracle PeopleSoft Enterprise HRMS, versiones 8.9, 9.0, 9.1
  • Oracle PeopleSoft Enterprise PeopleTools, versiones 8.49, 8.50, 8.51
  • Oracle Argus Safety, versiones 5.0, 5.0.1, 5.0.2, 5.0.3
  • Oracle InForm Portal, versiones 4.5, 4.6, 5.0
  • Oracle Sun Product Suite
  • Oracle Open Office, versión 3.2.1 y StarOffice/StarSuite, versiones 7, 8
Descripción: 

Oracle ha publicado una actualización de parches críticos que solucionan 66 vulnerabilidades de seguridad repartidas entre varios de sus productos.

Solución: 

Actualizar los productos de Oracle que tenga instalados. Debido a que varias de los problemas solucionados son críticos, se recomienda actualizar el sistema en la mayor brevedad posible.Puede hacerlo desde la página de actualizaciones de Oracle.

Detalle: 

Los problemas solucionados para cada producto son:

Oracle Database Server: Esta actualización soluciona 7 vulnerabilidades divididas en:

  • Oracle Database Server: con 5 vulnerabilidades, de las cuales 1 de ellas permite ser explotada remotamente sin necesidad de autenticación.
  • Oracle Secure Backup: con 1 vulnerabilidad que puede ser explotada remotamente sin necesidad de autenticación.
  • Oracle Audit Vault: con 1 vulnerabilidad que puede ser explotada remotamente sin necesidad de autenticación.

Los componentes afectados de vulnerabilidades para este producto son:

  • Client System Analyzer
  • Cluster Verify Utility
  • Database Vault
  • Oracle Spatial
  • Scheduler Agent
  • Database Vault

En estos componentes la mayor puntuación CVSS Base Score es de 7.5 en Client System Analyzer

Nota: La vulnerabilidad en Cluster Verify Utility únicamente afecta a plataformas Windows.

Oracle Secure Backup: Esta actualización soluciona 1 vulnerabilidad en el componente mod_ssl. Dicha vulnerabilidad puede ser explotada remotamente sin necesidad de autenticación (pueden ser explotadas por red sin necesidad de usuario y password). Su puntuación CVSS Base Score es de 6.4.

Oracle Audit Vault: Esta actualización soluciona 1 vulnerabilidad en el componente Audit Vault. Dicha vulnerabilidad puede ser explotada remotamente sin necesidad de autenticación. Su puntuación CVSS Base Score es de 10.0.

Nota: El CVSS Base Score es de 10.0 únicamente para Windows. En Linux, Unix y otras plataformas es de 7.5.

Oracle Fusion Middleware: Esta actualización soluciona 16 vulnerabilidades, siendo 12 de las mismas remotamente explotables sin necesidad de autenticación. Los productos Oracle Fusion Middleware incluyen componentes Oracle Database que son afectados por las vulnerabilidades listadas en la sección de Oracle Database.

Los componentes afectados de vulnerabilidades para este producto son:

  • Oracle JRockit
  • Oracle WebLogic Server
  • Oracle Document Capture
  • Services for Beehive
  • Database Vault
  • Oracle HTTP Server
  • Oracle Discoverer
  • Oracle GoldenGate Veridata
  • Oracle BI Publisher
  • Oracle Outside In Technology

En estos componentes la mayor puntuación CVSS Base Score es de 10.0 en Oracle JRockit y Oracle WebLogic Server.

Oracle Enterprise Manager Grid Control: Esta actualización soluciona 2 vulnerabilidades, siendo ambas remotamente explotables sin necesidad de autenticación. Los productos Oracle Enterprise Manager incluyen componentes de Oracle Database y Oracle Fusion Middleware que están afectados por las vulnerabilidades listadas en la sección de Oracle Database y Oracle Fusion Middleware.

Los componentes afectados de vulnerabilidades para este producto son:

  • Client System Analyzer
  • Real User Experience Insight

En estos componentes la mayor puntuación CVSS Base Score es de 7.5 en Client System Analyzer.

Oracle Applications: Esta actualización soluciona 16 vulnerabilidades divididas en:

  • Oracle Applications: con 2 vulnerabilidades que pueden ser explotadas remotamente sin necesidad de autenticación.
  • Oracle Supply Chain Products Suite: con 3 vulnerabilidades, ninguna de las cuales pueden ser explotadas remotamente sin necesidad de autenticación.
  • Oracle PeopleSoft y JDEdwards Suite: con 11 vulnerabilidades, 3 de las cuales pueden ser explotadas remotamente sin necesidad de autenticación.

Los productos Oracle E-Business Suite incluyen componentes Oracle Database y Oracle Fusion Middleware que están afectados por las vulnerabilidades listadas en las secciones Oracle Database y Oracle Fusion Middleware.

Los componentes afectados de vulnerabilidades para estos productos son:

  • Oracle Common Applications
  • Oracle Application Object Library

En estos componentes la mayor puntuación CVSS Base Score es de 4.3 en Oracle Common Applications.

Oracle Supply Chain Products: Esta actualización soluciona 3 vulnerabilidades, donde ninguna de las mismas puede ser explotada remotamente sin autenticación.

Los componentes afectados de vulnerabilidades para estos productos son:

  • Agile Core
  • Oracle Transportation Manager

Estos componentes tienen una puntuación CVSS Base Score de 3.5.

Oracle PeopleSoft y JDEdwards Suite: Esta actualización soluciona 11 vulnerabilidades, pudiendo ser explotadas remotamente y sin necesidad de autenticación 3 de ellas.

Los componentes afectados de vulnerabilidades para estos productos son:

  • Health Sciences- Oracle Argus Safety
  • Health Sciences- InForm

En estos componentes la mayor puntuación CVSS Base Score es de 7.5 en Oracle Argus Safety.

Oracle Sun Products: Esta actualización soluciona 23 vulnerabilidades divididas en:

  • Oracle Sun Products: con 21 vulnerabilidades, siendo 9 de ellas explotables de forma remota sin necesidad de autenticación.
  • Oracle Open Office Suite: con 2 vulnerabilidades, siendo ambas explotables de forma remota sin necesidad de autenticación.

Los componentes afectados de vulnerabilidades para estos productos son:

  • Solaris
  • Oracle VM VirtualBox
  • Sun Java System Access Manager, Oracle OpenSSO
  • Sun Convergence
  • Sun GlassFish Enterprise Server, Sun Java System Message Queue
  • SunMC
  • Sun Java System Communications Express
  • Sun Java System Portal Server

En estos componentes la mayor puntuación CVSS Base Score es de 10.0 en Solaris (en el protocolo RPC, sub-componente CDE Calendar Manager Service Daemon).

Oracle Open Office Suite: Esta actualización soluciona 2 vulnerabilidades, siendo ambas explotables remotamente y sin necesidad de autenticación.

Los componentes afectados de vulnerabilidades para estos productos son:

  • Oracle Open Office, StarOffice, StarSuite

Dicho componente tiene un CVSS Base Score de 7.5.

Nota: El CVSS Base Score para este componente es de 9.3 cuando se abren adjuntos maliciosos como administrador/root.

Impacto

Varía en función del producto, en algunos de ellos el impacto es crítico ya que las vulnerabilidades son explotables en remoto sin necesidad de autenticación, es decir, son explotables desde Internet sin necesidad de facilitar ningún nombre de usuario y contraseña; sin embargo, para otros productos el impacto es menor ya que las vulnerabilidades no pueden ser explotadas en remoto sin autenticación.