Inicio / Alerta Temprana / Avisos Seguridad / Oracle publica las actualizaciones de seguridad de Julio de 2009

Oracle publica las actualizaciones de seguridad de Julio de 2009

Fecha de publicación: 
15/07/2009
Importancia: 
3 - Media
Recursos afectados: 
  • Oracle Database 9i, versiones 9.2.0.8, 9.2.0.8DV; 10g, versiones 10.1.0.5, 10.2.0.3, 10.2.0.4 y 11g, versiones 11.1.0.6 y 11.1.0.7.
  • Oracle Application Server 10g versiones 10.1.2.3.0, 10.1.3.3.0 y 10.1.3.4.0
  • Oracle Identity Management 10g, versiones 10.1.4.0.1, 10.1.4.2.0, 10.1.4.3.0
  • Oracle E-Business Suite Release 11i, version 11.5.10.2, 12.0.6 y 12.1
  • Oracle Enterprise Manager Database Control 11, version 11.1.0.6, 11.1.0.7
  • Oracle Enterprise Manager Grid Control 10g Release 4, version 10.2.0.4
  • PeopleSoft Enterprise PeopleTools versions: 8.49
  • PeopleSoft Enterprise HRMS versions: 8.9 y 9.0
  • Siebel Highly Interactive Client versions: 7.5.3, 7.7.2, 7.8, 8.0, 8.1
  • Oracle WebLogic Server 7.0 hasta 7.0 SP7, 8.1 hasta 8.1 SP6, 9.0 GA, 9.1 GA, 9.2 hasta 9.2 MP3, 10.3 y 10.0MP1
  • Oracle Complex Event Processing 10.3 y WebLogic Event Server 2.0
  • Oracle JRockit R27.6.3 y earlier (JDK/JRE 6, 5, 1.4.2)
Descripción: 

Oracle ha publicado una serie de actualizaciones de seguridad trimestral para sus productos que solucionan 33 vulnerabilidades.

Impacto: 

Varía en función del producto, en algunos de ellos el impacto es crítico ya que las vulnerabilidades son explotables en remoto sin necesidad de autenticación, es decir, son explotables desde Internet sin necesidad de facilitar ningún nombre de usuario y contraseña; sin embargo, para otros productos el impacto es menor ya que las vulnerabilidades no pueden ser explotadas en remoto sin autenticación.

Solución: 

Actualizar los productos de Oracle que tenga instalados. Debido a que varias de los problemas solucionados son críticos, se recomiendo actualizar el sistema en la mayor brevedad posible.

Puede hacerlo desde la página de actualizaciones de Oracle

Detalle: 

Los problemas solucionados para cada producto son:

Oracle Database

Esta actualización soluciona 10 vulnerabilidades. Tres de ellas son explotables de forma remota sin necesidad de autenticación, esto es, sin necesidad de un nombre y una contraseña. Ninguna de estas son aplicables al cliente de la base de datos, solo a las instalaciones del servidor.

Los componentes afectados de vulnerabilidades que están solucionados en esta actualización son:

De estos componentes solo el primero tiene una CVSS Base Score de 9.0 en plataforma Windows (en Linux es de 6.5).

Oracle Secure Backup

Esta actualización soluciona 2 vulnerabilidades, de las cuales una de ellas puede ser explotables de forma remota sin necesidad de autenticación, esto es, sin necesidad de un nombre y una contraseña.

Oracle Secure Enterprise Search

Es un componente aparte de la instalación normal del servidor de base de datos, ´así que si no se ha instalado en el sistema, no es necesario actualizarlo.

La vulnerabilidad está solucionada en Oracle Secure Enterprise Search 10g, versión 10.1.8.3 o posterior. Los usuarios de versiones anteriores deben actualizar a esta versión o a otra posterior.

Oracle Application Server

Se resuelven 2 vulnerabilidades, ambas pueden ser explotadas de forma remota sin autenticación. Estas vulnerabilidades no afectan a instalaciones del cliente. La mayor puntuación en cuanto a la importancia de la vulnerabilidad es de 5 puntos en la escala CVSS.

Los componentes afectados de vulnerabilidades que están solucionados en esta actualización crítica son:

Oracle E-Business Suite and Applications

Se solucionan 5 vulnerabilidades, tres de ellas podrían explotarse de forma remota y sin necesidad de un nombre de usuario u contraseña. Estas vulnerabilidades no afectan a instalaciones del cliente, solo a que han instalado Oracle Application Suite. La puntuación máxima de estas vulnerabilidades según el CVSS es 6.0 puntos.

Los componentes afectados de vulnerabilidades que están solucionados en esta actualización crítica son:

Oracle Enterprise Manager

Se solucionan 2 vulnerabilidades, ninguna de ellas podrían explotarse de forma remota. Estas vulnerabilidades no afectan a instalaciones del cliente, solo a que han instalado Oracle Enterprise Manager. La puntuación máxima de estas vulnerabilidades según el CVSS es 5.5 puntos.

Los componentes afectados de vulnerabilidades que están solucionados en esta actualización crítica son:

Oracle PeopleSoft Enterprise and JD Edwards EnterpriseOne

Se solucionan 3 vulnerabilidades, una de ellas podría explotarse de forma remota, esto es sin necesidad de un nombre de usuario y una contraseña. La puntuación máxima de estas vulnerabilidades según el CVSS es 5.5 puntos.

Los componentes afectados de vulnerabilidades que están solucionados en esta actualización crítica son:

Oracle Siebel Enterprise

Se soluciona 1 vulnerabilidad, que no podría explotarse de forma remota. La puntuación máxima de estas vulnerabilidades según el CVSS es 3.0 puntos.

Los componentes afectados de vulnerabilidades que están solucionados en esta actualización crítica son:

Oracle BEA Products

Se solucionan 5 vulnerabilidades, todas ellas pueden ser explotadas de forma remota sin autenticación. Hay una de ellas que tiene una puntuación CVSS de 10.0 puntos.

Los componentes afectados de vulnerabilidades que están solucionados en esta actualización crítica son:

Para ampliar la información consultar el aviso de Oracle (Apartado de Referencias).

Para consultar las vulnerabilidades (por CVE) se puede hacer, según su estado: