miércoles, 16 de octubre de 2013

Oracle corrige 129 vulnerabilidades en su actualización de seguridad de octubre

Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica su boletín de seguridad de octubre. Contiene parches para 129 vulnerabilidades diferentes en múltiples productos pertenecientes a 15 familias diferentes, que van desde el popular gestor de base de datos Oracle Database hasta Solaris o MySQL.

A continuación se presenta un resumen del número de vulnerabilidades reportadas por familia:

  • 4 vulnerabilidades corregidas en Oracle Database Server.
  • 17 en Oracle Fusion Middleware.
  • 4 en Oracle Enterprise Manager Grid Control.
  • 1 en Oracle E-Business Suite.
  • 2 en Oracle Supply Chain Products Suite.
  • 8 en Oracle PeopleSoft Products.
  • 9 en Oracle Siebel CRM.
  • 2 en Oracle iLearning
  • 6 en Oracle Industry Applications.
  • 1 en Oracle Financial Services Software.
  • 2 en Oracle Primavera Products Suite.
  • 51 en Oracle Java.
  • 12 en Oracle y Sun Systems Products Suite, entre ellos Solaris.
  • 2 en Oracle Virtualization.
  • 8 en Oracle MySQL.

La mayoría de las vulnerabilidades que contiene este boletín se catalogan en importancia media-baja, sin embargo cabe destacar algunas. El boletín de Oracle Java, además de ser el más extenso aloja las vulnerabilidades más importantes: solventa 24 vulnerabilidades de ejecución de código (12 de ellas con la mayor valoración CVSS posible 10.0).


Igualmente el CVE-2013-2251, incluido en el boletín de Oracle MySQL, permitiría la ejecución de código remoto.

Las versiones de las respectivas familias afectadas, serían:

  • Database:
 Oracle Database 12c Release 1, versión 12.1.0.1
 Oracle Database 11g Release 2, versiones 11.2.0.2 y 11.2.0.3
 Oracle Database 11g Release 1, versión 11.1.0.7

  • Fusion Middleware:
 Oracle Fusion Middleware 11g Release 1, versiones 11.1.1.6 y 11.1.1.7
 Oracle Access Manager, versiones 11.1.1.5.0, 11.1.2.0.0
 Oracle Forms and Reports 11g, Release 2, versión 11.1.2.1
 Oracle GlassFish Server, versiones 2.1.1, 3.0.1 y 3.1.2
 Oracle HTTP Server 12c, versión 12.1.2
 Oracle Identity Analytics, versión 11.1.1.5; Sun Role Manager, versiones 4.1 y 5.0
 Oracle Identity Manager, versiones 11.1.2.0.0 y 11.1.2.1.0
 Oracle JDeveloper, versiones 11.1.2.3.0, 11.1.2.4.0 y 12.1.2.0.0
 Oracle Outside In Technology, versiones 8.4.0 y 8.4.1
 Oracle Portal, versión 11.1.1.6.0
 Oracle Web Cache, versiones 11.1.1.6 y 11.1.1.7
 Oracle WebCenter Content, versiones 10.1.3.5.1, 11.1.1.6.0,
11.1.1.7.0 y 11.1.1.8.0
 Oracle WebLogic Server, versiones 10.3.6.0 y 12.1.1.0
 Oracle Web Services, versiones 10.1.3.5 y 11.1.1.6.0

  • Enterprise Manager Grid Control:
 Oracle Enterprise Manager Grid Control 11g Release 1, versión 11.1.0.1
 Oracle Enterprise Manager Grid Control 10g Release 1, versión 10.2.0.5
 Oracle Enterprise Manager Plugin for Database 12c Release 1, versiones 12.1.0.2, 12.1.0.3 y 12.1.0.4

  • E-Business Suite Release 12i, versión 12.1

  • Oracle Supply Chain:
 Oracle Agile PLM Framework, versión 9.3.2
 Oracle Transportation Management, versiones 6.2, 6.3, 6.3.1 y 6.3.2

  • PeopleSoft:
 Oracle PeopleSoft Enterprise HRMS, versión 9.1
 Oracle PeopleSoft Enterprise HRMS eCompensation, versiones 9.1 y 9.2
 Oracle PeopleSoft Enterprise PeopleTools, versiones 8.51, 8.52 y 8.53

  • Siebel:
 Oracle Siebel Core, versiones 8.1.1 y 8.2.2
 Oracle Siebel Server Remote, versiones 8.1.1 y 8.2.2
 Oracle Siebel UI Framework, versiones 8.1.1 y 8.2.2

  • iLearning, versiones 5.2.1 y 6.0

  • Industry Applications:
 Oracle Health Sciences InForm, versiones 4.5.x, 4.6.x, 5.0.x, 5.5.x y 6.0.0
 Oracle Siebel CTMS, versión 8.1.1.x
 Oracle Retail Invoice Matching, versiones 10.2, 11.0, 12.0, 12.0IN, 12.1, 13.0, 13.1 y 13.2

  • Financial Services:
 Oracle FLEXCUBE Private Banking, versiones 1.7, 2.0, 2.0.1, 2.2.0.1, 3.0 y 12.0.1

  • Primavera Products Suite:
 Oracle Instantis EnterpriseTrack, versiones 8.0.6 y 8.5
 Oracle Primavera P6 Enterprise Project Portfolio Management, versiones 8.1, 8.2 y 8.3

  • Java SE
 Oracle Java JDK and JRE, versiones 5.0u51, 6u60, 7u40 y anteriores
 Oracle Java SE Embedded, versión 7u40 y anteriores
 Oracle JavaFX, versión 2.2.40 y anteriores
 Oracle JRockit, versiones R27.7.6, R28.2.8 y anteriores

  • Oracle and Sun Systems Products Suite:
 Oracle Solaris versiones 10, 11.1
 Oracle SPARC Enterprise T series y M Series Servers Firmware,
versiones anteriores a 6.7.13, 7.4.6.c, 8.3.0.b, 9.0.0.d y 9.0.1.e
 Oracle Sun Blade 6000 10GBE switched NEM 1.2
 Sun Network 10GBE Switch 72P 1.2
 Oracle Switch ES1-24 1.3

  • Virtualization:
 Oracle Secure Global Desktop, versión 5
 Oracle VM VirtualBox, versiones anteriores a 3.2.18, 4.0.20, 4.1.28 y 4.2.18

  • MySQL:
 Oracle MySQL Server, versiones 5.1, 5.5 y 5.6
 Oracle MySQL Enterprise Monitor, versión 2.3

Para más información sobre las vulnerabilidades solucionadas y la aplicación de los parches, se recomienda visitar el sitio oficial del boletín.
http://www.oracle.com/technetwork/topics/security/cpuoct2013-1899837.html

Más información:

Oracle Critical Patch Update Advisory - October 2013
http://www.oracle.com/technetwork/topics/security/cpuoct2013-1899837.html



Juan José Ruiz
jruiz@hispasec.com
Etiquetas: ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017