Mostrando entradas con la etiqueta Java. Mostrar todas las entradas
Mostrando entradas con la etiqueta Java. Mostrar todas las entradas

jueves, 5 de octubre de 2017

Try Catch Stack Overflow

Interesante estudio de varios investigadores del Virginia Tech, en el que ponen en entredicho la calidad del código que podemos encontrar en sitios como StackOverflow y similares, desde el punto de vista de la seguridad.




Todo aquel que ha tenido que tirar alguna que otra línea de código (programar), se habrá encontrado en una situación en la que necesitaba la ayuda de alguien para soslayar un problema determinado. “¿Cómo implemento una conexión SSL?”, “¿Cómo hago para comprobar la validez de un certificado x.509?”, “¿Por qué no estudié gastronomía en vez de informática?”.

A menudo, un golpe de buscador nos arroja un listado de recursos sobre los que indagar en la implementación que “encaje” en nuestro código y lo haga funcionar. Sobre esta suerte de mecanismo de consultoría exprés se ha abusado tanto que incluso algunos gestores han llegado a creer que programar se reduce a buscar un trozo de código y pegarlo en un editor de texto (naturalmente, el Notepad).

Esa creencia, tanto por parte de la dilatada imaginación de algunos gestores como de la poca pericia de algunos junta-palabras-reservadas, hace que se construya una falsa concepción de lo que significa el sacro arte del diseño y programación de computadores digitales basados en la arquitectura Von Newmann (o en la Harvard). Es tan de chiste la cosa, que incluso existen librerías que atrapan una excepción y te buscan la traza en StackOverflow para que directamente copies la mejor respuesta. Verlo para creerlo.

Imagen de: https://github.com/gautamkrishnar/tcso



¿Cuál es el problema?

Basado en el estudio sobre las preguntas y respuestas dadas en torno al lenguaje y plataforma Java, los investigadores han encontrado multitud de errores en respuestas populares que contienen vulnerabilidades de seguridad. El problema, señalan, no se encuentra en las librerías usadas –que no deja de ser reutilización legítima de código-, sino en que estas no se usan de forma segura, dando lugar a la exposición de riesgo por falta de pericia en su uso.

Hay ejemplos de todo tipo, como sugerir deshabilitar la protección contra ataques CSRF del framework Spring para resolver un problema en la autenticación o auténticas chapuzas glorificadas acerca de la implementación correcta de criptografía en la aplicación, como la generación de claves sin la entropía adecuada o uso de algoritmos ya desfasados y retirados desde hace mucho, mucho tiempo.

No nos confundamos. StackOverflow es un recurso maravilloso para un programador; incluso debería tener su propia festividad en el calendario. En él puedes encontrar librerías, consejos, experiencias y algoritmos que jamás hubieses encontrado de no ser porque un colega ya lo ha hecho antes que tú. Lo que realmente sugieren en este estudio es que todo, absolutamente todo, ha de ser pasado por el filtro del sentido común y la capacidad crítica de cada uno. Herramientas que parecen inmunes ante el virus de la prisitis urgentia.

Cuando ves una respuesta que tiene más de 10 años en la que se hace uso del hash MD5 para almacenar hashes de contraseñas, es evidente que no es la respuesta adecuada. Hemos de ser precavidos, levantar el pie del acelerador y observar con detenimiento tareas que son críticas y podrían devenir en quebraderos de cabeza en un futuro. No en vano, existe código escrito que no ha pasado a revisión en décadas, con vulnerabilidades que estaban allí y de las que nadie se percató.


¿Os acordáis del infame ‘gotofail’?

David García
dgarcia@hispasec.com
@dgn1729

Más información:

Secure Coding Practices in Java: Challenges and Vulnerabilities:


0 comentarios
Etiquetas: , , ,

lunes, 11 de septiembre de 2017

Apache Struts y los peligros de la teletransportación

Si alguna vez has visto algún episodio o película de Star Trek, te habrás fijado en algo muy característico, icónico, de la franquicia desde sus inicios: El uso de un teletransportador para la mayoría de los viajes entre la Enterprise y los muchos de sus inhóspitos destinos. Ahora, en nuestro tiempo, ese recurso no sería ni trending topic, pero en los años sesenta, chico, en los años sesenta ver a un vulcaniano con sus orejas puntiagudas emerger de la nada en medio de un festival de luces estroboscópicas era una auténtica revolución. Allí no había ni mota de polvo y de pronto, zas, aparecía un tipo con todos sus átomos en su sitio, tricorder incluido, un paseito cuántico sin importancia; con vistas al universo.

Curiosamente, ese "truco" de escena les sirvió para recortar presupuesto, puesto que de ese modo se ahorraban las secuencias de despegue-aterrizaje de una hipotética lanzadera o método similar. Evidentemente, hacía falta hipotecar nuestra imaginación para no romper la suspensión de la incredulidad, o ensanchar nuestra cintura científica para pasar por alto el quebrantamiento de varias leyes de la física. Pero oiga, ¿no resulta atrevido pensar en un sistema que  descomponga la materia, la haga viajar a la velocidad de la luz y la vuelva a recomponer sin riesgo alguno en el otro extremo?




Pues bien, eso es lo que hace la serialización de objetos. Descomponer un objeto en un extremo, transmitir esos datos y recomponerlos en el destino. La magia de la computación distribuida. Solo que de momento tenemos un problemilla: no es tan segura como el teletransportador del Enterprise y en vez de recomponer un objeto seguro y fiable se nos puede colar una bomba de resina de Trilithium con pinta de inocente objeto que transporta de forma diligente las preferencias del usuario.

Eso es lo que ha pasado últimamente con una vulnerabilidad en el framework Struts de la fundación Apache. Se trata de un conocido proyecto muy usado en aplicaciones web para J2EE. O de otra forma, un framework que usa la mayoría de grandes empresas en sus desarrollos bajo la plataforma y lenguaje Java. Aunque Struts tiene ya sus años (fue pionero en este ámbito), y no tiene el tirón que tuvo en su día, todavía se sigue usando en muchas instalaciones, algunas de ellas gestionando recursos bastante valiosos para estas empresas. 

Tal es el caso que nos ocupa, el de Equifax, una empresa de valoración de crédito que ha sido atacada supuestamente usando la mencionada vulnerabilidad. Hasta 143 millones de registros podrían haber sido extraídos de sus archivos y bases de datos por un grupo atacante. En un ambiente en el que la gestión de este incidente ha sido muy discutida, la fundación Apache ha emitido un comunicado explicando algo que se puede resumir en una sola frase: "si usas software y ha salido un parche de seguridad, PARCHEA, YA!". Evidente, pero que por desgracia hay que repetir continuamente. 

La vulnerabilidad ha sido descubierta por Man Yue Mo, de la empresa lgtm. El fallo estaba en la clase ContentTypeHandler, un interfaz muy básica pero potente que permite serializar y deserializar objetos desde el objeto raíz de la API de Java, el objeto Object. Esto permite a cualquier clase que herede una implementación de dicha interfaz poseer la funcionalidad para usar serialización (en palabras trekkies, de usar el teletransportador).  Para que nos entendamos, un cliente contacta con un servidor y le dice "te voy a enviar un objeto serializado en formato XML", el servidor lo recibe, interpreta el XML del cliente a través de una instancia del objeto XStreamHandler...y como este hereda de ContentTypeHandler...no se detiene a comprobar si el XML donde yace el objeto inerte contiene o no un método peligroso. 

Como curiosidad, se ha dicho que el bug tiene o puede tener 8 años de antigüedad, pero esto es relativo y no debería ocasionar sorpresa. Ahora mismo hay cientos de bugs peligrosos que están ahí, esperando a ser descubiertos, el problema no es no verlos, sino quien los ve y que hace con él. En una imagen:



Si nos fijamos en la línea de tiempo del investigador, las fechas coinciden:



Vemos los cambios realizados a nivel de API, coincidiendo con el estilo, filosofía y formas Java: añadiendo una capa (más) de abstracción:




Y como ahora, con la nueva llamada a la API se comprueban ciertos permisos que deben figurar para serializar objetos con una mejora en la seguridad (vamos a omitir decir, de manera completamente segura):




Huelga decir que a las pocas horas de hacerse pública la vulnerabilidad comenzaron a salir exploits y pruebas de concepto, incluyendo, como no, un módulo para metasploit. Si se quiere tener una visión técnica más directa sobre cómo se arquitecta un exploit para esta vulnerabilidad podemos leer el código de este repositorio de GitHub, donde se ha publicado un exploit stand-alone para explotar el fallo por Mazin Ahmed. Ojo, no recomendamos que ejecutes este o cualquier exploit. 

Por ejemplo, vemos cómo en dicho exploit se nos pide el comando que queremos ejecutar en el sistema remoto. Este irá codificado en XML, con la etiqueta que describe su tipo, "string":


A su vez, más adelante, el comando va incrustado en una plantilla que sirve para describir completamente el objeto a serializar (siempre será el mismo, solo cambia el comando):


Hay algo más, ya por curiosidad, no lo comenta pero como post-explotación, tras asegurarse de que es explotable utiliza partes de ysoserial, un framework que ha crecido recopilando vulnerabilidades de este tipo, serialización, en el ámbito de la plataforma Java, por ejemplo:


Es una codificación base64, luego:



Interesantísima forma de explotación, aunque viene a rubricar de nuevo uno de los principios universales de la seguridad informática: jamás dar por bueno lo que llega del usuario. Ni aunque sea un vulcaniano de orejas puntiagudas y buenas intenciones.




David García
dgarcia@hispasec.com


Más información

Remote code execution vulnerability in Apache Struts (CVE-2017-9805)
https://lgtm.com/blog/apache_struts_CVE-2017-9805



0 comentarios
Etiquetas: , , , , ,

miércoles, 9 de agosto de 2017

Navegadores inseguros. Los tiempos están cambiando.

Hace unos días nos llegó la noticia de la propia Adobe: Flash se acaba en 2020. Listo. Fin de una era. Aunque en su nota de prensa no mencionan ni de pasada las 1033 vulnerabilidades de seguridad (casi todas de máxima gravedad) que salen en una búsqueda rápida, Adobe alega únicamente un cambio de rumbo en la tecnología hacia estándares más abiertos, tales como HTML5 y WebGL.

Lo de Flash era una muerte anunciada. No podía ser de otro modo. Arrinconado por las vulnerabilidades, autentica puerta de entrada de toda clase de malware, y denostado por los buscadores, Flash fue reduciendo su masa de usuarios, desarrolladores y navegadores que lo soportan. Es incontable la cantidad de exploits que usan Flash como vector de explotación (junto con Adobe PDF Reader o Java, el tridente de la inseguridad). Es tal el ritmo de aparición de CVE sobre Flash que hasta dejaron de ser noticia.

Aunque Adobe fija su fin en 2020, todavía nos quedarán los rescoldos de una larga batalla por la expulsión de Flash del campo de juego del navegador. Engaños a usuarios desprevenidos (“pinche aquí amigo, instálese la última versión de Flash”, “Ah, ¿pero no había desaparecido?”, “pinche aquí amigo”, “vale, vale, pincho”) o navegadores sin actualizar. Sorprende que incluso con la política de actualizaciones automáticas todavía hay usuarios que no reinician el navegador para aplicarlas. Eso nos deja una pequeña rendija abierta en la ventana de exposición.

Flash no se queda solo. Los lectores de PDF incrustados en el navegador van siendo desplazados por el propio lector hecho en Javascript (no es broma, hecho en puro Javascript). Esto permite cerrar la vía a esos auténticos monstruos salidos de la mente de un escritor pasado de absenta que son los complementos nativos, auténticos quebraderos de cabeza de la navegación segura.

Otro que va borrando su mala impronta es Java. Hace tiempo que fue noticia su práctico baneo por los principales navegadores, y su uso generalista se ve marginado a ciertas aplicaciones obsoletas y sin mantenimiento, por ejemplo, algunas webs gubernamentales en las que te exigen “INTERNET EXPLORER 5.5 o superior / Java RunTime Environment Sun Versión 1.4.2. o superior” (la cita es textual, de la página de un Ministerio). Quién ha instalado una máquina virtual con un Windows 2000 y Java 1.4 obsoletos para firmar digitalmente sabe de qué se está hablando. Ahora esa misma firma electrónica se efectúa en, sorpresa, Javascript.

¿Nos quedamos aquí?

Para nada. Si miramos las propias implementaciones de Javascript (o el propio Java) vemos otros de los grandes culpables de hacer saltar por los aires a los navegadores: C y C++. Estos lenguajes de programación fueron diseñados hace décadas, cuando la gente ni sospechaba de lejos la fiesta que podía armarte un simple memcpy con un inocente búfer y una cadena de entrada procedente de usuario. Eso y la falta (necesaria) de un recolector de basura, hacía que la gestión de memoria fuera un desastre en manos de gente sin experiencia, con prisas o con las dos mencionadas condiciones a la vez.

C++ es un lenguaje complejo, muy complejo. Tanto que los propios expertos reconocen que es imposible aprender completamente cada una de sus características, o que es casi imposible crear un intérprete (parser) de la gramática completa (ver pag. 147). Aunque las nuevas versiones del estándar han reducido enormemente la capacidad de crear errores en la gestión de memoria, gracias a los punteros “inteligentes” (shared_ptr, unique_ptr, (ojo, no auto_ptr)), el daño ya está hecho. Además, incluso con estas mejoras, es complicado encontrar desarrolladores con un buen nivel en este lenguaje.

Vemos un comienzo en la evolución en este campo: nuevos lenguajes de programación, adaptados a los requisitos de seguridad y amigables para atraer nuevos programadores. Desde la propia Mozilla, han diseñado un lenguaje que permite obtener buenos tiempos de ejecución sin necesidad de gestión manual de la memoria: Rust. Este lenguaje les ha permitido reemplazar componentes de Firefox que anteriormente estaban hechos en C++ a otros en Rust, como por ejemplo Servo o Quantum. Es previsible que de manera progresiva se vayan adaptando más partes a este nuevo lenguaje si les acompañan los buenos resultados en rendimiento y desarrollo.

Como vemos, no hay nada escrito en piedra. Poco a poco se vencen antiguos paradigmas, modelos obsoletos y se cierran viejas heridas. Naturalmente, no vamos a dejar de ver exploits. Tan pronto como las antiguas técnicas dejen de ser efectivas se investigarán otras que den resultados similares. Además, y lo más importante, aunque reduzcamos la superficie de ataque, cerremos la ventana de exposición y creemos nuevos lenguajes más seguros, jamás podremos eliminar el componente más vulnerable de todo el sistema: el usuario. 


David García
@dgn1729
dgarcia@hispasec.com


Más información:

flash & the future of interactive content
https://blogs.adobe.com/conversations/2017/07/adobe-flash-update.html

Navegadores inseguros
http://unaaldia.hispasec.com/1998/10/navegadores-inseguros.html







0 comentarios
Etiquetas: , , , , , ,

miércoles, 18 de enero de 2017

Oracle corrige 270 vulnerabilidades en su actualización de seguridad de enero

Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica el primer boletín de seguridad del año. Contiene parches para 270 nuevas vulnerabilidades diferentes en múltiples productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL.

Los fallos se dan en varios componentes de múltiples productos y como es habitual la lista de productos afectados es extensa:
  • Oracle Database Server, versiones 11.2.0.4 y 12.1.0.2
  • Oracle Secure Backup, versiones anteriores a 12.1.0.3
  • Spatial, versiones anteriores a 1.2
  • Oracle Fusion Middleware, versiones 11.1.1.7, 11.1.1.9, 11.1.2.3, 11.1.2.4, 12.1.3.0, 12.2.1.0 y 12.2.1.1
  • Oracle GlassFish Server, versiones 2.1.1, 3.0.1 y 3.1.2
  • Oracle JDeveloper, versiones 11.1.1.7.0, 11.1.1.9.0, 11.1.2.4.0, 12.1.3.0.0, 12.2.1.0.0, 12.2.1.1.0, 12.2.1.2.0
  • Oracle Outside In Technology, versiones 8.5.2 y 8.5.3
  • Oracle Tuxedo, versión 12.1.1
  • Oracle WebLogic Server, versiones 10.3.6.0, 12.1.3.0, 12.2.1.0 y 12.2.1.1
  • Application Testing Suite, versiones 12.4.0.2, 12.5.0.2 y 12.5.0.3
  • Enterprise Manager Base Platform, versiones 12.1.0.5, 13.1 y 13.2
  • Enterprise Manager Ops Center, versiones 12.1.4, 12.2.2 y 12.3.2
  • Oracle E-Business Suite, versiones 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4, 12.2.5 y 12.2.6
  • Oracle Transportation Management, versiones 6.1 y 6.2
  • PeopleSoft Enterprise HCM ePerformance, versión 9.2
  • PeopleSoft Enterprise PeopleTools, versiones 8.54 y 8.55
  • JD Edwards EnterpriseOne Tools, versión 9.2.1.1
  • Siebel Applications, versión 16.1
  • Oracle Commerce Platform, versiones 10.0.3.5, 10.2.0.5 y 11.2.0.2
  • Oracle Fusion Applications, versiones 11.1.2 hasta 11.1.9
  • Oracle Communications Indexing and Search Service, versiones anteriores a 1.0.5.28.0
  • Oracle Communications Network Charging and Control, versiones 4.4.1.5, 5.0.0.1, 5.0.0.2, 5.0.1.0 y 5.0.2.0
  • Oracle Communications Network Intelligence, versión 7.3.0.0
  • Oracle FLEXCUBE Core Banking, versiones 5.1.0, 5.2.0 y 11.5.0
  • Oracle FLEXCUBE Direct Banking, versiones 12.0.0, 12.0.1, 12.0.2 y 12.0.3
  • Oracle FLEXCUBE Enterprise Limits and Collateral Management, versiones 12.0.0 y 12.0.2
  • Oracle FLEXCUBE Investor Servicing, versiones 12.0.1, 12.0.2, 12.0.4, 12.1.0 y 12.3.0
  • Oracle FLEXCUBE Private Banking, versiones 2.0.1, 2.2.0 y 12.0.1
  • Oracle FLEXCUBE Universal Banking, versiones 11.3.0, 11.4.0, 12.0.0, 12.0.1, 12.0.2, 12.0.3, 12.1.0 y 12.2.0
  • MICROS Lucas, versiones 2.9.1, 2.9.2, 2.9.3, 2.9.4 y 2.9.5
  • Oracle Retail Allocation, versiones 12.0, 13.0, 13.1, 13.2, 13.3, 14.0 y 14.1
  • Oracle Retail Assortment Planning, versiones 14.1 y 15.0
  • Oracle Retail Order Broker, versiones 4.1, 5.1, 5.2, 15.0 y 16.0
  • Oracle Retail Predictive Application Server, versiones 13.1, 13.2, 13.3, 13.4, 14.0, 14.1 y 15.0
  • Oracle Retail Price Management, versiones 13.1, 13.2, 14.0 y 14.1
  • Primavera P6 Enterprise Project Portfolio Management, versiones 8.2, 8.3, 8.4, 15.1, 15.2, 16.1 y 16.2
  • Oracle Java SE, versiones 6u131, 7u121 y 8u112
  • Oracle Java SE Embedded, versión 8u111
  • Oracle JRockit, versión R28.3.12
  • Oracle VM Server for Sparc, versiones 3.2 y 3.4
  • Solaris, versión 11.3
  • Oracle VM VirtualBox, versiones anteriores a 5.0.32 y anteriores a 5.1.14
  • MySQL Cluster, versiones 7.2.26 y anteriores, 7.3.14 y anteriores y 7.4.12 y anteriores
  • MySQL Enterprise Monitor, versiones 3.1.3.7856 y anteriores, 3.1.4.7895 y anteriores, 3.1.5.7958 y anteriores, 3.2.1.1049 y anteriores, 3.2.4.1102 y anteriores y 3.3.0.1098 y anteriores
  • MySQL Server, versiones 5.5.53 y anteriores, 5.6.34 y anteriores y 5.7.16 y anteriores
 A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas:

  • Cinco nuevas vulnerabilidades corregidas en Oracle Database Server (tres de ellas explotable remotamente sin autenticación), dos vulnerabilidades en Oracle Secure Backup (ambas explotables remotamente sin autenticación) y una nueva vulnerabilidad corregida en Oracle Big Data Graph.
       
  • Otras 18 vulnerabilidades afectan a Oracle Fusion Middleware. 16 de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Oracle Tuxedo, Oracle WebLogic Server, Oracle GlassFish Server, Oracle Fusion Middleware, Oracle Outside In Technology y Oracle JDeveloper.
         
  • Esta actualización contiene ocho nuevas actualizaciones de seguridad para Oracle Enterprise Manager Grid Control, seis de ellas explotables remotamente sin autenticación.
         
  • Dentro de Oracle Applications, 121 parches son para Oracle E-Business Suite, uno es para la suite de productos Oracle Supply Chain, siete para productos Oracle PeopleSoft, uno para productos Oracle JD Edwards, tres para Oracle Siebel CRM y uno para Oracle Commerce.
         
  • Se incluyen también cuatro nuevos parches para Oracle Communications Applications, dos de ellos tratan vulnerabilidades explotables remotamente sin autenticación. También soluciona 37 nuevas vulnerabilidades en Oracle Financial Services Applications (14 explotables remotamente).
         
  • Esta actualización contiene ocho nuevas actualizaciones de seguridad para Oracle Retail Applications, dos de ellas explotables remotamente sin autenticación.
          
  • También se incluyen cuatro nuevos parches de seguridad para software Oracle Primavera Products Suite, dos de ellas podrían explotarse de forma remota sin autenticación.
        
  • En lo referente a Oracle Java SE se incluyen 17 nuevos parches de seguridad, 16 de ellos referentes a vulnerabilidades que podrían ser explotadas por un atacante remoto sin autenticar.
        
  • Para la suite de productos Oracle Sun Systems se incluyen cuatro nuevas actualizaciones, tres de ellas afectan directamente a Solaris.
         
  • 27 nuevas vulnerabilidades afectan a MySQL Server (cinco de ellas podrían ser explotadas por un atacante remoto sin autenticar).
        
  • Esta actualización también contiene cuatro parches para Oracle Virtualización.

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial en:
Oracle Critical Patch Update Advisory – January 2017
http://www.oracle.com/technetwork/security-advisory/cpujan2017-2881727.html

Más información:

Oracle Critical Patch Update Advisory - January 2017
http://www.oracle.com/technetwork/security-advisory/cpujan2017-2881727.html



Antonio Ropero
antonior@hispasec.com
Twitter: @aropero



0 comentarios
Etiquetas: , , ,

miércoles, 19 de octubre de 2016

Oracle corrige 253 vulnerabilidades en su actualización de seguridad de octubre

Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica su boletín de seguridad de octubre. Contiene parches para 253 nuevas vulnerabilidades diferentes en múltiples productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL.

Los fallos se dan en varios componentes de múltiples productos y como es habitual la lista de productos afectados es extensa:
  • Application Express, versiones anteriores a la 5.0.4.0.7
  • Oracle Database Server, versiones 11.2.0.4 y 12.1.0.2
  • Oracle Secure Backup, versiones anteriores a la 10.4.0.4.0 y anteriores a la 12.1.0.2.0
  • Big Data Graph, versiones anteriores a la 1.2
  • NetBeans, versión 8.1
  • Oracle BI Publisher, versiones 11.1.1.7.0, 11.1.1.9.0 y 12.2.1.0.0
  • Oracle Big Data Discovery, versiones 1.1.1, 1.1.3 y 1.2.0
  • Oracle Business Intelligence Enterprise Edition, versiones 11.1.1.7.0, 11.1.1.9.0, 12.1.1.0.0 y 12.2.1.1.0
  • Oracle Data Integrator, versiones 11.1.1.7.0, 11.1.1.9.0, 12.1.2.0.0, 12.1.3.0.0, 12.2.1.0.0 y 12.2.1.1.0
  • Oracle Discoverer, versiones 11.1.1.7.0
  • Oracle Fusion Middleware, versiones 11.1.1.7, 11.1.1.9, 11.1.2.3, 11.1.2.4, 12.1.3.0, 12.2.1.0 y 12.2.1.1
  • Oracle GlassFish Server, versiones 2.1.1, 3.0.1 y 3.1.2
  • Oracle Identity Manager
  • Oracle iPlanet Web Proxy Server, version 4.0
  • Oracle iPlanet Web Server, version 7.0
  • Oracle Outside In Technology, versiones 8.4.0, 8.5.1, 8.5.2 y 8.5.3
  • Oracle Platform Security for Java, versiones 12.1.3.0.0, 12.2.1.0.0 y 12.2.1.1.0
  • Oracle Web Services, versiones 11.1.1.7.0, 11.1.1.9.0, 12.1.3.0.0 y 12.2.1.0.0
  • Oracle WebCenter Sites, versiones 12.2.1.0.0, 12.2.1.1.0 y 12.2.1.2.0
  • Oracle WebLogic Server, versiones 10.3.6.0, 12.1.3.0, 12.2.1.0 y 12.2.1.1
  • Enterprise Manager, versiones 12.1.4, 12.2.2 y 12.3.2
  • Enterprise Manager Base Platform, version 12.1.0.5
  • Oracle Application Testing Suite, versiones 12.5.0.1, 12.5.0.2 y 12.5.0.3
  • Oracle E-Business Suite, versiones 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4, 12.2.5 y 12.2.6
  • Oracle Advanced Supply Chain Planning, versiones 12.2.3, 12.2.4 y 12.2.5
  • Oracle Agile Engineering Data Management, versiones 6.1.3.0 y 6.2.0.0
  • Oracle Agile PLM, versiones 9.3.4 y 9.3.5
  • Oracle Agile Product Lifecycle Management for Process, versiones 6.1.0.4, 6.1.1.6 y 6.2.0.0
  • Oracle Transportation Management, versiones 6.1, 6.2, 6.3.0, 6.3.1, 6.3.2, 6.3.3, 6.3.4, 6.3.5, 6.3.6 y 6.3.7
  • PeopleSoft Enterprise HCM, versión 9.2
  • PeopleSoft Enterprise PeopleTools, versiones 8.54 y 8.55
  • PeopleSoft Enterprise SCM Services Procurement, versiones 9.1 y 9.2
  • JD Edwards EnterpriseOne Tools, versión 9.1
  • JD Edwards World Security, versión A9.4
  • Siebel Applications, versiones 7.1 y 16.1
  • Oracle Commerce Guided Search, versiones 6.2.2, 6.3.0, 6.4.1.2, 6.5.0, 6.5.1 y 6.5.2
  • Oracle Commerce Guided Search / Oracle Commerce Experience Manager, versiones 3.1.1, 3.1.2, 6.2.2, 6.3.0, 6.4.1.2, 6.5.0, 6.5.1, 6.5.2, 6.5.3, 11.0, 11.1 y 11.2
  • Oracle Commerce Platform, versiones 10.0.3.5, 10.2.0.5 y 11.2.0.1
  • Oracle Commerce Service Center, versiones 10.0.3.5 y 10.2.0.5
  • Oracle Fusion Applications, versiones 11.1.2 hasta 11.1.9
  • Oracle Communications Policy Management, versiones 9.7.3, 9.9.1, 10.4.1, 12.1.1 y anteriores
  • Oracle Enterprise Communications Broker, versiones Pcz2.0.0m4p5 y anteriores
  • Oracle Enterprise Session Border Controller, versiones Ecz7.3m2p2 y anteriores
  • Oracle Banking Digital Experience, versión 15.1
  • Oracle Financial Services Analytical Applications Infrastructure, versiones 7.3.0, 7.3.1, 7.3.2, 7.3.3, 7.3.4, 7.3.5, 8.0.0, 8.0.1, 8.0.2 y 8.0.3
  • Oracle Financial Services Lending and Leasing, versiones 14.1.0 y 14.2.0
  • Oracle FLEXCUBE Core Banking, versiones 11.5.0.0.0 y 11.6.0.0.0
  • Oracle FLEXCUBE Enterprise Limits and Collateral Management, versiones 12.0.0 y 12.1.0
  • Oracle FLEXCUBE Investor Servicing, version 12.0.1
  • Oracle FLEXCUBE Private Banking, versiones 2.0.0, 2.0.1, 2.2.0, 12.0.0, 12.0.1, 12.0.2, 12.0.3 y 12.1.0
  • Oracle FLEXCUBE Universal Banking, versiones 11.3.0, 11.4.0, 12.0.1, 12.0.2, 12.0.3, 12.1.0, 12.2.0, 12.87.1 y 12.87.2
  • Oracle Life Sciences Data Hub, versiones 2.x
  • Oracle Hospitality OPERA 5 Property Services, versiones 5.4.0.0, 5.4.1.0, 5.4.2.0, 5.4.3.0, 5.5.0.0 y 5.5.1.0
  • Oracle Insurance IStream, versión 4.3.2
  • MICROS XBR, versiones 7.0.2 y 7.0.4
  • Oracle Retail Back Office, versiones 13.0, 13.1, 13.2, 13.3, 13.4, 14.0 y 14.1
  • Oracle Retail Central Office, versiones 13.0, 13.1, 13.2, 13.3, 13.4, 14.0 y 14.1
  • Oracle Retail Clearance Optimization Engine, versiones 13.2, 13.3, 13.4 y 14.0
  • Oracle Retail Customer Insights, versión 15.0
  • Oracle Retail Merchandising Insights, versión 15.0
  • Oracle Retail Returns Management, versiones 13.0, 13.1, 13.2, 13.3, 13.4, 14.0 y 14.1
  • Oracle Retail Xstore Payment, versión 1.x
  • Oracle Retail Xstore Point of Service, versiones 5.0, 5.5, 6.0, 6.5, 7.0 y 7.1
  • Primavera P6 Enterprise Project Portfolio Management, versiones 8.4, 15.x y 16.x
  • Primavera P6 Professional Project Management, versiones 8.3, 8.4, 15.x y 16.x
  • Oracle Java SE, versiones 6u121, 7u111 y 8u102
  • Oracle Java SE Embedded, versión 8u101
  • Solaris, versiones 10 y 11.3
  • Solaris Cluster, versiones 3.3 y 4.3
  • Sun ZFS Storage Appliance Kit (AK), versión AK 2013
  • Oracle VM VirtualBox, versiones anteriores a la 5.0.28, anteriores a la 5.1.8
  • Secure Global Desktop, versiones 4.7 y 5.2
  • Sun Ray Operating Software, versiones anteriores a la 11.1.7
  • Virtual Desktop Infrastructure, versiones anteriores a la 3.5.3
  • MySQL Connector, versiones 2.0.4 y anteriores y 2.1.3 y anteriores
  • MySQL Server, versiones 5.5.52 y anteriores, 5.6.33 y anteriores y 5.7.15 y anteriores


A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas: 
  • Nueve nuevas vulnerabilidades corregidas en Oracle Database Server (una de ellas explotable remotamente sin autenticación), 2 vulnerabilidades en Oracle Secure Backup (ambas explotables remotamente sin autenticación) y una nueva vulnerabilidad corregida en Oracle Big Data Graph. Afectan a los componentes: OJVM, Kernel PDB, Application Express, RDBMS Programmable Interface, RDBMS Security y RDBMS Security and SQL*Plus.
          
  • Otras 29 vulnerabilidades afectan a Oracle Fusion Middleware. 19 de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: BI Publisher (formerly XML Publisher), NetBeans, Oracle Big Data Discovery, Oracle Business Intelligence Enterprise Edition, Oracle Data Integrator, Oracle Discoverer, Oracle GlassFish Server, Oracle Identity Manager, Oracle iPlanet Web Proxy Server, Oracle iPlanet Web Server, Oracle Outside In Technology, Oracle Platform Security for Java, Oracle Web Services y Oracle WebCenter Sites.     
       
  • Esta actualización contiene cinco nuevas actualizaciones de seguridad para Oracle Enterprise Manager Grid Control, cuatro de ellas explotables remotamente sin autenticación. Afectan a Enterprise Manager, Oracle Application Testing Suite y Enterprise Manager Base Platform.   
         
  • Dentro de Oracle Applications, 21 parches son para Oracle E-Business Suite, 19 parches son para la suite de productos Oracle Supply Chain, 11 para productos Oracle PeopleSoft, dos para productos Oracle JD Edwards, tres para Oracle Siebel CRM y siete para Oracle Commerce.
             
  • Se incluyen también 36 nuevos parches para Oracle Communications Applications, 31 de ellos tratan vulnerabilidades explotables remotamente sin autenticación. De forma similar tan solo una nueva corrección para Oracle Health Sciences Applications (aunque podría ser explotable remotamente sin autenticación). También incluye un nuevo parche para Oracle Insurance Applications y tres para Oracle Hospitality Applications.
             
  • Esta actualización contiene 10 nuevas actualizaciones de seguridad para Oracle Retail Applications, 10 de ellas explotables remotamente sin autenticación.
         
  • También se incluyen dos nuevos parches de seguridad para software Oracle Primavera Products Suite, una de ellas podría explotarse de forma remota sin autenticación.
         
  • En lo referente a Oracle Java SE se incluyen 7 nuevos parches de seguridad, todos referentes a vulnerabilidades que podrían ser explotadas por un atacante remoto sin autenticar.
         
  • Para la suite de productos Oracle Sun Systems se incluyen 16 nuevas actualizaciones, 10 de ellas afectan directamente a Solaris.
             
  • 31 nuevas vulnerabilidades afectan a MySQL Server (dos de ellas podrían ser explotada por un atacante remoto sin autenticar).
         
  • Esta actualización también contiene 13 parches para Oracle Virtualización.


Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial en:
Oracle Critical Patch Update Advisory – October 2016
http://www.oracle.com/technetwork/security-advisory/cpuoct2016-2881722.html

Más información:

Oracle Critical Patch Update Advisory - October 2016
http://www.oracle.com/technetwork/security-advisory/cpuoct2016-2881722.html



Antonio Ropero
antonior@hispasec.com

Twitter: @aropero
0 comentarios
Etiquetas: , , ,
Suscribirse a: Entradas (Atom)
Hispasec Sistemas | Copyright ©1998-2017