Oracle
soluciona 139 vulnerabilidades este
mes y finaliza el ciclo anual de actualizaciones. Oracle Systems ha hecho
público su tercer y último boletín de seguridad de este año, que corrige 109
vulnerabilidades presentes en 11 familias de productos Oracle, en especial
Oracle DB, Fusion Middleware, Solaris y MySQL.
- Oracle Database Server
Oracle Database 11g Release 2, versiones 11.2.0.2, 11.2.0.3
Oracle Database 11g Release 1, versión 11.1.0.7
Oracle Database 10g Release 2, versiones 10.2.0.3, 10.2.0.4, 10.2.0.5
- Oracle Fusion Middleware
Oracle Fusion Middleware 11g Release 1, versión 11.1.1.6
Oracle Forms and Reports 11g, Release 2, versión 11.1.2.0
Oracle Forms and Reports 11g Release 1, versión 11.1.1.4
Oracle BI Publisher, versiones 10.1.3.4.2, 11.1.1.5.0, 11.1.1.6.0, 11.1.1.6.2
Oracle Event Processing, versiones 2.0, 11.1.1.4.0, 11.1.1.6.0
Oracle Identity Management 10g, versión 10.1.4.3
Oracle Imaging and Process Management, versión 10.1.3.6.0
Oracle JRockit versiones, R28.2.4 y posteriores, R27.7.3 y posteriores
Oracle Outside In Technology, versión 8.3.7
Oracle WebLogic Server, versiones 9.2.4.0, 10.0.2.0, 10.3.5.0, 10.3.6.0, 12.1.1.0
Oracle WebCenter Sites, versiones 6.1, 6.2, 6.3.x, 7, 7.0.1, 7.0.2, 7.0.3, 7.5, 7.6.1, 7.6.2, 11.1.1.6.0
- Oracle E-Business
Suite
Oracle E-Business Suite Release 12, versiones 12.0.6, 12.1.1, 12.1.2, 12.1.3
Oracle E-Business Suite Release 11i, versión 11.5.10.2
- Oracle Supply Chain
Oracle Agile PLM For Process, versiones 5.2.2, 6.0.0.6.3, 6.1.0.0, 6.1.0.1.14
Oracle Agile PLM Framework, versiones 9.3.1.0, 9.3.1.1
Oracle Agile Product Supplier Collaboration for Process, versions 5.2.2, 6.1.0.0
- Oracle PeopleSoft
Products
Oracle PeopleSoft Enterprise Campus Solutions, versión 9.0
Oracle PeopleSoft Enterprise PeopleTools, versiones 8.50, 8.51, 8.52
- Oracle Siebel CRM
Oracle Siebel UI Framework, versión 8.1.1
- Oracle Industry
Applications
Oracle Central Designer, versiones 1.3, 1.4, 1.4.2
Oracle Clinical/Remote Data Capture, versiones 4.6.0, 4.6.2
- Oracle Financial
Services Software
Oracle FLEXCUBE Direct Banking, versiones 5.0.2, 5.0.5, 5.1.0, 5.2.0, 5.3.0-5.3.4, 6.0.1, 6.2.0, 12
Oracle FLEXCUBE Universal Banking, versiones 10.0.0-10.5.0, 11.0.0-11.4.0, 12
- Oracle Sun Products Suite
- Oracle
Virtualization
Oracle Secure Global Desktop, versión 4.6
Oracle VM Virtual Box, versiones 3.2, 4.0, 4.1
- MySQL
Oracle MySQL Server, versiones 5.1.63 y anteriores, 5.5.25 y anteriores.
- Java SE
JDK y JRE 7 Update 7 y anteriores
JDK y JRE 6 Update 35 y anteriores
JDK y JRE 5.0 Update 36 y anteriores
SDK y JRE 1.4.2_38 y anteriores
- Java FXCTXSYS.
JavaFX 2.2 y anteriores
En resumen las vulnerabilidades
pueden considerarse de nivel medio. La mayoría de ellas se catalogan como
denegaciones de servicio (Solaris y MySQL sobretodo), mientras que las más
elevadas son las que afectan a Java SE.
A continuación ofrecemos una relación
de productos y el número de vulnerabilidades corregidas:
- Oracle Database Server (5), se corrigen las vulnerabilidades críticas de
revelación de credenciales mediante el protocolo de autenticación Oracle,
(CVE-2012-3137) y elevación de privilegios a través de "CTXSYS.CONTEXT" (CVE-2012-3132)
reportadas por el equipo de TeamSHATTER y que ya comentamos en anteriores
una-al-día.
- Oracle Fusion Middleware (26),
la más importante una ejecución remota de
código en Oracle JRockit (CVE-2012-3202). El resto son de tipo medio-bajo.
- Oracle E-Business Suite (9),
relacionadas con revelación de información sensible y salto de restricciones.
- Oracle Supply Chain (9)
vulnerabilidades, entre ellas cuatro denegaciones de servicio. Todas se pueden
explotar de forma remota, relacionadas también con revelación de información
sensible y salto de restricciones.
- Oracle PeopleSoft Products (9),
sería necesario autenticación simple en todas ellas para poder explotarlas.
Todas tienes un impacto bajo Oracle Siebel CRM (2) y estarían relacionadas con
la revelación de información sensible.
- Oracle Industry Applications
(2), la vulnerabilidad mas relevante CVE-2012-5066, tendría un CVSS de 6.3 y
permitiría un salto de restricciones en Oracle Central Designer.
- Oracle Financial Services
Software (13), de nivel medio-bajo, están relacionadas la mayoría con
revelación de información sensible o salto de restricciones de manera remota,
salvo CVE-2012-3145 que es una vulnerabilidad local.
- Oracle Sun Products Suite (18),
la gran mayoría pertenecen a Solaris, siendo las más importantes relacionadas
con ejecución arbitraria de código (CVSS 7.2) y denegación de servicio (CVSS
7.8) Oracle Virtualization (2), de bajo nivel y relaciones con la integridad y
disponibilidad de los sistemas.
- MySQL (14), todas las
vulnerabilidades de tipo remoto excepto la CVE-2012-3160 que es local. La gran mayoría sería
del tipo denegación de servicio, salvo dos importantes vulnerabilidades de
ejecución remota de código (CVE-2012-3158 y CVE-2012-3163) con CVSS de 7.5 y 9 respectivamente,
ésta última sólo en Linux con esa puntuación.
- Java SE (30), es el boletín con vulnerabilidades más importantes ya que se corrigen hasta 10 de tipo ejecución remota de código (críticas): CVE-2012-5083, CVE-2012-1531, CVE-2012-5086, CVE-2012-5087, CVE-2012-1533, CVE-2012-1532, CVE-2012-5076, CVE-2012-3143, CVE-2012-5088 y CVE-2012-5078.
Se recomienda visitar la página oficial
con la matriz de sistemas afectados y sus parches.
Más información:
October 2012 Critical Patch Update and Critical
Patch Update for Java SE Released
Oracle Critical Patch Update Advisory - October
2012
October
2012 Critical Patch Update for Java SE
José Mesa Orihuela
No hay comentarios:
Publicar un comentario