Inicio / Alerta Temprana / Avisos Seguridad / Oracle publica actualizaciones de seguridad de Julio de 2010

Oracle publica actualizaciones de seguridad de Julio de 2010

Fecha de publicación: 
14/07/2010
Importancia: 
5 - Crítica
Recursos afectados: 
  • Oracle Database 11g Release 2, version 11.2.0.1
  • Oracle Database 11g Release 1, version 11.1.0.7
  • Oracle Database 10g Release 2, versions 10.2.0.3, 10.2.0.4
  • Oracle Database 10g, version 10.1.0.5
  • Oracle Database 9i Release 2, versions 9.2.0.8, 9.2.0.8DV
  • Oracle TimesTen In-Memory Database, versions 7.0.6.0, 11.2.1.4.1
  • Oracle Secure Backup version 10.3.0.1
  • Oracle Application Server, 10gR2, version 10.1.2.3.0
  • Oracle Identity Management 10g, version 10.1.4.0.1
  • Oracle WebLogic Server 11gR1 releases (10.3.1, 10.3.2 and 10.3.3)
  • Oracle WebLogic Server 10gR3 release (10.3.0)
  • Oracle WebLogic Server 10.0 through MP2
  • Oracle WebLogic Server 9.0, 9.1, 9.2 through MP3
  • Oracle WebLogic Server 8.1 through SP6
  • Oracle WebLogic Server 7.0 through SP7
  • Oracle JRockit R28.0.0 and earlier (JDK/JRE 5 and 6)
  • Oracle JRockit R27.6.6 and earlier (JDK/JRE 1.4.2, 5 and 6)
  • Oracle Business Process Management, versions 5.7.3, 6.0.5, 10.3.1, 10.3.2
  • Oracle Enterprise Manager Grid Control 10g Release 5, version 10.2.0.5
  • Oracle Enterprise Manager Grid Control 10g Release 1, version 10.1.0.6
  • Oracle E-Business Suite Release 12, versions 12.0.4, 12.0.5, 12.0.6, 12.1.1 and 12.1.2
  • Oracle E-Business Suite Release 11i, versions 11.5.10, 11.5.10.2
  • Oracle Transportation Manager, Versions: 5.5.05.07, 5.5.06.00, 6.0.03
  • PeopleSoft Enterprise Campus Solutions, version 9.0
  • PeopleSoft Enterprise CRM, versions 9.0 and 9.1
  • PeopleSoft Enterprise FSCM, versions 8.9, 9.0 and 9.1
  • PeopleSoft Enterprise HCM, versions 8.9, 9.0 and 9.1
  • PeopleSoft Enterprise PeopleTools, versions 8.49 and 8.50
  • Oracle Sun Product Suite
Descripción: 

Oracle ha publicado una actualización de parches críticos que solucionan 59 vulnerabilidades de seguridad repartidos entre varios de sus productos. La gran mayoría de los parches afectan a la suite Solaris (21 parches) y a productos de gestión de bases de datos de Oracle (13 parches)

Solución: 

Actualizar los productos de Oracle que tenga instalados. Debido a que varias de los problemas solucionados son críticos, se recomienda actualizar el sistema en la mayor brevedad posible.

Puede hacerlo desde la página de actualizaciones de Oracle

Detalle: 

Los problemas solucionados para cada producto son:

Oracle Database Server

Esta actualización soluciona 13 vulnerabilidades divididas en:

  • Oracle Database Server: con 6 vulnerabilidades, 4 de las cuales pueden ser explotadas de forma remota sin necesidad de autenticación
  • Oracle TimesTen In-Memory Database: con 2 vulnerabilidades que pueden ser explotadas de forma remota sin necesidad de autenticación
  • Oracle Secure Backup: con 5 vulnerabilidades, 3 de las cuales pueden ser explotada de forma remota sin necesidad de autenticación

Estas vulnerabilidades son: CVE-2010-0911, CVE-2010-0903, CVE-2010-0902, CVE-2010-0892, CVE-2010-0900, CVE-2010-0901, CVE-2010-0873, CVE-2010-0910, CVE-2010-0898, CVE-2010-0907, CVE-2010-0899, CVE-2010-0906 y CVE-2010-0904

Los componentes afectados de vulnerabilidades que están solucionados en esta actualización son:

  • Listener
  • Net Foundation Layer
  • Oracle OLAP
  • Application Express
  • Network Layer
  • Export
  • Data Server
  • Oracle Secure Backup

En estos componentes la mayor puntuación Oracle Secure Backup y Data Server es de 10 en Oracle Secure Backup y Data Server

Oracle Fusion Middleware

Esta actualización soluciona 7 vulnerabilidades, de las cuales 5 pueden ser explotables de forma remota sin necesidad de autenticación. Son CVE-2010-0849, CVE-2009-3555, CVE-2010-2375, CVE-2010-2370, CVE-2010-0835, CVE-2010-0081 y CVE-2010-2381.

Los componentes afectados de vulnerabilidades para este producto son:

  • JRockit
  • WebLogic Server
  • Oracle Business Process Management
  • Wireless
  • Application Server Control

En estos componentes la mayor puntuación CVSS Base Score es de 7.5 en JRockit

Oracle Enterprise Manager Grid Control

Esta actualización soluciona una vulnerabilidad, que puede ser explotable de forma remota sin necesidad de autenticación. La vulnerabilidad es: CVE-2010-2373.

El componente afectado por la vulnerabilidad para este producto es:

  • Console

La puntuación CVSS Base Score del componente afectado es de 4.3.

Oracle Applications

Esta actualización soluciona 17 vulnerabilidades divididas en:

  • Oracle E-Business Suite: con 7 vulnerabilidades, 5 de las cuales pueden ser explotadas de forma remota sin necesidad de autenticación
  • Oracle Supply Chain Products Suite: con 2 vulnerabilidades, 1 de las cuales pueden ser explotada de forma remota sin autenticación
  • Oracle PeopleSoft and JDEdwards Suite: con 8 vulnerabilidades, ninguna de las cuales pueden ser explotada de forma remota sin autenticación

Las vulnerabilidades son: CVE-2010-0908, CVE-2010-0915, CVE-2010-0912, CVE-2010-0905, CVE-2010-0913, CVE-2010-0909, CVE-2010-0836, CVE-2010-2372, CVE-2010-2371, CVE-2010-2401, CVE-2010-2402, CVE-2010-2380, CVE-2010-2398, CVE-2010-2379, CVE-2010-2377, CVE-2010-2378 y CVE-2010-2403.

Los componentes afectados de vulnerabilidades para este producto son:

  • Oracle Applications Framework
  • Oracle Advanced Product Catalog
  • Oracle Applications Manager
  • Oracle Knowledge Management
  • Oracle Transportation Management
  • PeopleSoft Enterprise HCM - eProfile Mgr
  • PeopleSoft Enterprise PeopleTools
  • PeopleSoft Enterprise FSCM
  • PeopleSoft Enterprise HCM - Time & Labor
  • PeopleSoft Enterprise CRM
  • PeopleSoft Enterprise Campus Solutions

En estos componentes la mayor puntuación CVSS Base Score es de 7.5 en Oracle Applications Framework

Oracle Sun Products Suite

Esta actualización soluciona 21 vulnerabilidades, 7 de ellas pueden ser explotables de forma remota sin necesidad de autenticación. Las vulnerabilidades son CVE-2010-0083, CVE-2008-4247, CVE-2010-0916, CVE-2010-2385, CVE-2010-2392, CVE-2010-0914, CVE-2010-2386, CVE-2010-2394, CVE-2010-2399, CVE-2010-2400, CVE-2009-3763, CVE-2009-3764, CVE-2009-3762, CVE-2010-2393, CVE-2009-0217, CVE-2010-2376, CVE-2010-2382, CVE-2010-2383, CVE-2010-2384, CVE-2010-2374 y CVE-2010-2397.

Los componentes afectados de vulnerabilidades para este producto son:

  • Solaris
  • Sun Java System Web Proxy Server
  • Sun Convergence
  • Access Manager
  • OpenSSO
  • Solaris Studio
  • Sun GlassFish Enterprise Server, Sun Java System Application Server

En estos componentes la mayor puntuación CVSS Base Score es de 7.6 en Solaris

IMPACTO

Varía en función del producto, en algunos de ellos el impacto es crítico ya que las vulnerabilidades son explotables en remoto sin necesidad de autenticación, es decir, son explotables desde Internet sin necesidad de facilitar ningún nombre de usuario y contraseña; sin embargo, para otros productos el impacto es menor ya que las vulnerabilidades no pueden ser explotadas en remoto sin autenticación.