El
primer
boletín de seguridad del año para Oracle, de los cuatro de frecuencia
trimestral que tiene planificado para 2013, contiene parches para 86 vulnerabilidades diferentes en múltiples productos.
Los productos que reciben estas
actualizaciones se encuentran en el siguiente listado:
- Oracle Database
Oracle Database 11g Release 2, versiones 11.2.0.2, 11.2.0.3
Oracle Database 11g Release 1, versión 11.1.0.7
Oracle Database 10g Release 2, versiones 10.2.0.3, 10.2.0.4, 10.2.0.5
Oracle Database Mobile Server, versión 11.1.0.0
Oracle Database Lite Server, versión 10.3.0.3 - Fusion Middleware
Oracle Access Manager/Webgate, versiones 10.1.4.3.0, 11.1.1.5.0, 11.1.2.0.0
Oracle GoldenGate Veridata, versión 3.0.0.11.0
Management Pack for Oracle GoldenGate, versión 11.1.1.1.0
Oracle Outside In Technology, versiones 8.3.7, 8.4
Oracle WebLogic Server, versiones 9.2.4, 10.0.2, 10.3.5, 10.3.6, 12.1.1
- Oracle Enterprise
Manager Grid Control
Application Performance Management versiones 6.5, 11.1, 12.1.0.2
Enterprise Manager Grid Control 11g Release 1, versión 11.1.0.1
Enterprise Manager Grid Control 10g Release 1, versión 10.2.0.5
Enterprise Manager Plugin for Database 12c Release 1, versiones 12.1.0.1, 12.1.0.2
- Oracle E-Business
Suite
Oracle E-Business Suite Release 12, versiones 12.0.6, 12.1.1, 12.1.2, 12.1.3
Oracle E-Business Suite Release 11i, versión 11.5.10.2
- Oracle Supply Chain
Products Suite
Oracle Agile PLM Framework, versión 9.3.1.1
- Oracle PeopleSoft
Oracle PeopleSoft HRMS, versiones 9.0, 9.1
Oracle PeopleSoft PeopleTools, versiones 8.51, 8.52
- Oracle JD Edwards
Oracle JD Edwards EnterpriseOne Tools, versiones 8.9, 9.1, SP24 - Oracle Siebel
Oracle Siebel CRM, versiones 8.1.1, 8.2.2
- Oracle Sun
Oracle Sun Product Suite
- Oracle Virtualization
Oracle VM VirtualBox, versiones 4.0, 4.1, 4.2
- Oracle MySQL
Oracle MySQL Server, versiones 5.1.66 y anteriores, 5.5.28 y anteriores.
La mayoría de las
vulnerabilidades que aloja este boletín se catalogan en importancia media-baja.
Un gran número son provocadas por fallos en el protocolo HTTP.
Las excepciones más notables se
encuentran entre aquellas que afectan a las bases de datos (Database Server y
MySQL Server), que podrían permitir a un
atacante remoto tomar el control del sistema. En especial, las vulnerabilidades
CVE-2013-0361 y CVE-2013-0366, para Database Mobile/Lite, que pueden ser
explotadas remotamente sin necesidad de autenticación, y que obtienen una
puntuación CVSS de 10.
A continuación ofrecemos una
relación de productos y el número de vulnerabilidades corregidas:
- Oracle Database (6), la primera de ellas afecta a Database Server y permite al atacante tomar el control del sistema. Aunque es explotable de forma remota y la complejidad de explotación es baja, la necesidad de autenticación simple y de poseer privilegios para la creación de tablas reduce su puntuación CVSS a 9 en sistemas Windows. Para sistemas *NIX, esta puntuación es menor (6,5), ya que el compromiso del sistema es sólo parcial.Sobre el resto, pertenecientes a la versión Mobile/Lite, son todas explotables remotamente sin necesidad de autenticación y afectan al protocolo HTTP. Además de las dos mencionadas anteriormente, encontramos tres fallos que comprometen por competo la confidencialidad del sistema.
- Fusion Middleware (7), 5 de ellas explotables remotamente sin autenticación.
Entre estas, tres comprometen la disponibilidad y dos la integridad del
sistema. Las otras dos son denegaciones de servicio solo explotables de manera
local. Todas comprometen el sistema solo parcialmente.
- Enterprise Manager Grid Control (13), todas afectan al protocolo http
y son explotables de forma remota sin necesidad de autenticación. Especial
atención a la vulnerabilidad CVE-2013-0359, que puede provocar el compromiso
parcial de la confidencialidad, integridad y disponibilidad del sistema. El
resto solo afectan, también parcialmente, a la integridad.
- E-Business Suite (9), Cuatro vulnerabilidades relacionadas con la
disponibilidad del sistema, dos de ellas explotables de forma remota.
- Oracle Supply Chain (1), Esta se aloja en el componente Oracle
Agile PLM Framework, en el protocolo HTTP y con baja puntuación CVSS (2,1) en parte
debido a su alta complejidad de acceso, su necesidad de autenticación y su bajo
impacto (parcial para la confidencialidad).
- PeopleSoft (12), todas relacionadas con el protocolo HTTP. 7 de
ellas pueden explotarse de forma remota sin necesidad de credenciales, suponiendo
estas en su mayoría un compromiso parcial de la integridad del sistema.
- Oracle JD Edwards (1), de importancia baja y no explotable remotamente,
supone solo un compromiso parcial de la confidencialidad.
- Siebel CRM (10), todas relacionadas con el protocolo HTTP. Y la
mitad de ellas explotables remotamente sin autenticación. Principalmente del tipo
denegación de servicio o revelación de información.
- Oracle Sun Products (8), siendo 7 para Solaris, explotables solo
de manera local. De estas, tres implican un compromiso total del sistema. La
restante afecta al Common Array Manager y es explotable a través de la red sin
necesidad de credenciales, pudiendo ser utilizada para revelar información
sensible.
- Oracle Virtualization (1), de puntuación baja y que afecta a la aplicación
de virtualización VirtualBox. Solo explotables localmente.
- Oracle MySQL Product Suite (18), en su mayoría denegaciones de servicio que podrían afectar solo a la aplicación o al sistema al completo. Destacan las vulnerabilidades CVE-2012-5611 y CVE-2012-5612, que podrían provocar un compromiso total del sistema en Windows (parcial en *nix, con una puntuación CVSS de 6,5).
Para más información sobre las
vulnerabilidades solucionadas y la aplicación de los parches, se recomienda
visitar el sitio oficial del boletín.
Más información:
Oracle Critical Patch Update
Advisory - January 2013
Francisco López
No hay comentarios:
Publicar un comentario