una-al-día | Hispasec: Oracle

Mostrando entradas con la etiqueta Oracle. Mostrar todas las entradas

jueves, 16 de agosto de 2018

Vulnerabilidad crítica en Oracle Database

El fallo, con una puntuación CVSSv3 de 9,9, podría propiciar el acceso completo a la base de datos y al sistema operativo subyacente. Oracle apela al parcheo inmediato de los sistemas.

Pocas veces una empresa con una política periódica de publicación de parches rompe sus ciclos pero, cuando lo hace, normalmente es motivo de preocupación. En este caso le ha tocado a Oracle, que publica sus parches cuatrimestralmente.

Y el motivo no es para menos. Identificada como CVE-2018-3110, la vulnerabilidad encontrada en Oracle Database Server permite a un atacante remoto tomar el control de la base de datos y acceder a través de linea de comandos al sistema operativo sobre el que se ejecuta.

Concretamente, el fallo se encuentra en el componente Java VM. La explotación es trivial, pero requiere al atacante remoto estar autenticado y contar con el privilegio "Create Session", además de acceso a través de Oracle Net.

La vulnerabilidad ha sido publicada debido a su impacto en las versiones 11.2.0.4 y 12.2.0.1 para Windows. Sin embargo ya en su boletín de julio Oracle parcheaba este mismo fallo para la versión 12.1.0.2 en Windows, y para aquellas bajo sistemas Linux y Unix.

Esta no es la primera vez que Oracle saca parches fuera de ciclo. De hecho, el año pasado publicó hasta 4 alertas bajo la tipología Oracle Security Alert Advisory, que es la que se utiliza cuando las vulnerabilidades son críticas (puntuaciones CVSSv3 mayor a 9.8, al menos) y requieren acción inmediata. Una de ellas era 10/10.

Francisco López

flopez@hispasec.com

@zisk0

Más información:

Oracle Security Alert Advisory - CVE-2018-3110:

http://www.oracle.com/technetwork/security-advisory/alert-cve-2018-3110-5032149.html#AppendixDB

martes, 20 de junio de 2017

Importante vulnerabilidad en sistemas Linux y *NIX

Bajo el nombre de "Stack Clash" se ha anunciado una vulnerabilidad que afecta a sistemas Linux, OpenBSD, NetBSD, FreeBSD y Solaris que puede permitir a un atacante local conseguir privilegios de root en los sistemas afectados.

Un grupo de investigadores de Qualys han descubierto el problema y han desarrollado siete exploits y otras tantas pruebas de concepto para demostrarlo, además han trabajado con los fabricantes para desarrollar los parches necesarios.

La base del problema no es nueva, los investigadores de Qualys se remontan a una antigua cuestión:

"Si el montón crece hacia arriba y la pila
crece hacia abajo, ¿qué sucede cuando
chocan? ¿Es explotable? ¿Cómo?."

De esta forma la vulnerabilidad reside en el uso de la pila, y el crecimiento de este espacio de memoria por necesidades del programa. Si crece demasiado y se acerca demasiado a otra región de memoria, el programa puede confundir regiones de memoria y un atacante puede explotar esta confusión para sobrescribir la pila con la otra región de memoria, o al revés.

La vulnerabilidad afecta a todos los sistemas Linux, OpenBSD, NetBSD, FreeBSD o Solaris, en i386 o amd64. Aunque otros sistemas operativos y arquitecturas también pueden ser vulnerables. Los exploits y pruebas de concepto desarrolladas por Qualys permiten la elevación local de privilegios, un atacante con acceso local a un sistema podrá aprovechar esta vulnerabilidad para conseguir acceso de root. Aunque los investigadores de Qualys tampoco descartan la posibilidad de ataques remotos en aplicaciones específicas. Hay que destacar el extenso análisis técnico en el aviso de Qualys.

Según Qualys, la vulnerabilidad en Sudo comentada recientemente también se cataloga dentro de "Stack Clash".

The Stack Clash: vulnerability in memory management of Linux, OpenBSD, NetBSD, FreeBSD and Solaris, on i386 & amd64 https://t.co/vbsazWEWqV
— Qualys (@qualys) 19 de junio de 2017

Gracias al aviso responsable de los investigadores y el trabajo con los fabricantes afectados ha permitido que todos los afectados dispongan rápidamente de los parches necesarios para evitar la vulnerabilidad.

Oracle ha publicado un aviso en el que alerta del problema e informa de los parches publicados en:

https://support.oracle.com/rs?type=doc&id=2277900.1

De forma similar Red Hat también ha publicado una página especial dedicada al problema, por el que se ven afectadas múltiples versiones de sus sistemas:

Red Hat Enterprise Linux 5, 6 y 7
Red Hat Enterprise MRG 2.5
Red Hat Virtualization
RHEL Atomic Host

https://access.redhat.com/security/vulnerabilities/stackguard

Otras distribuciones Linux también han publicado actualizaciones:

SUSE:

https://www.novell.com/support/kb/doc.php?id=7020973

Debian:

https://www.debian.org/security/2017/dsa-3886

https://www.debian.org/security/2017/dsa-3887

https://www.debian.org/security/2017/dsa-3888

https://www.debian.org/security/2017/dsa-3889

Ubuntu:

https://www.ubuntu.com/usn/usn-3335-1/

OpenBSD

https://ftp.openbsd.org/pub/OpenBSD/patches/6.1/common/008_exec_subr.patch.sig

La lista de exploits y pruebas de concepto desarrolladas:

Exploit local para root contra Exim (CVE-2017-1000369, CVE-2017-1000376) en i386 Debian.
Exploit local para root contra Sudo (CVE-2017-1000367, CVE-2017-1000366) en i386 Debian, Ubuntu, CentOS.
Un exploit independiente Sudoer a root contra CVE-2017-1000367 en distribuciones SELinux.
Exploit local para root contra ld.so y la mayoría de binarios SUID-root en i386 Debian, Fedora, CentOS (CVE-2017-1000366, CVE-2017-1000370).
Exploit local para root contra ld.so y la mayoría de binarios SUID-root en amd64 Debian, Ubuntu, Fedora, CentOS (CVE-2017-1000366, CVE-2017-1000379).
Exploit local para root contra ld.so y muchos SUID-root PIEs en i386 Debian, Ubuntu, Fedora (CVE-2017-1000366, CVE-2017-1000371).
Exploit local para root contra /bin/su (CVE-2017-1000366, CVE-2017-1000365) en i386 Debian
Prueba de concepto contra Sudo en i386 grsecurity/PaX que consigue control EIP (CVE-2017-1000367, CVE-2017-1000366, CVE-2017-1000377);
Prueba de concepto local contra Exim que consigue control RIP (CVE-2017-1000369) en amd64 Debian.
Prueba de concepto contra /usr/bin/at en i386 OpenBSD (CVE-2017-1000372, CVE-2017-1000373).
Prueba de concepto para CVE-2017-1000374 y CVE-2017-1000375 en NetBSD
Prueba de concepto para CVE-2017-1085 en FreeBSD
Dos pruebas de concepto para CVE-2017-1083 y CVE-2017-1084 en FreeBSD
Exploit local para root contra /usr/bin/rsh (CVE-2017-3630, CVE-2017-3629 y CVE-2017-3631) en Solaris 11.

Más información:

The Stack Clash

https://www.qualys.com/2017/06/19/stack-clash/stack-clash.txt

https://blog.qualys.com/securitylabs/2017/06/19/the-stack-clash

Oracle Security Alert for CVE-2017-3629

http://www.oracle.com/technetwork/security-advisory/alert-cve-2017-3629-3757403.html

una-al-dia (02/06/2017) Elevación de privilegios por vulnerabilidad en Sudo

http://unaaldia.hispasec.com/2017/06/elevacion-de-privilegios-por.html

Stack Guard Page Circumvention Affecting Multiple Packages

https://access.redhat.com/security/vulnerabilities/stackguard

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

jueves, 20 de abril de 2017

Oracle corrige 299 vulnerabilidades en su actualización de seguridad de abril

Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica su actualización correspondiente al mes de abril. Contiene parches para 299 nuevas vulnerabilidades diferentes en múltiples productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL.

Los fallos se dan en varios componentes de múltiples productos y como es habitual la lista completa de productos afectados es cada vez más extensa. Se concreta en las siguientes familias:

Oracle Database Server
Oracle Secure Backup
Oracle Berkeley DB
Oracle Fusion Middleware
Oracle Hyperion
Oracle Enterprise Manager Grid Control
Oracle E-Business Suite
Oracle Supply Chain Products Suite
Oracle PeopleSoft Products
Oracle JD Edwards Products
Oracle Siebel CRM
Oracle Commerce
Oracle Communications Applications
Oracle Financial Services Applications
Oracle Health Sciences Applications
Oracle Hospitality Applications
Oracle Insurance Applications
Oracle Retail Applications
Oracle Utilities Applications
Oracle Primavera Products Suite
Oracle Java SE
Oracle Sun Systems Products Suite
Oracle Virtualization
Oracle MySQL
Oracle Support Tools

A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas:

Dos nuevas vulnerabilidades corregidas en Oracle Database Server y otra en Oracle Secure Backup (explotable remotamente sin autenticación).
Para la suite de productos Oracle Sun Systems se incluyen 21 nuevas actualizaciones, 10 de ellas afectan directamente a Solaris.
39 nuevas vulnerabilidades afectan a MySQL Server (11 de ellas podrían ser explotadas por un atacante remoto sin autenticar).
14 nuevos parches para Oracle Berkeley DB (ninguna de estas vulnerabilidades es exploitable remotamente sin autenticación).
Otras 31 vulnerabilidades afectan a Oracle Fusion Middleware. 20 de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Oracle API Gateway, Oracle Fusion Middleware MapViewer, Oracle GlassFish Server, Oracle Identity Manager, Oracle Service Bus, Oracle Social Network, Oracle WebCenter Content, Oracle WebCenter Sites y Oracle WebLogic Server.
Esta actualización contiene dos nuevas actualizaciones de seguridad para Oracle Enterprise Manager Grid Control, ambas explotables remotamente sin autenticación.
Dentro de Oracle Applications, 11 parches son para Oracle E-Business Suite, uno es para la suite de productos Oracle Supply Chain, 16 para productos Oracle PeopleSoft, uno para productos Oracle JD Edwards, uno para Oracle Siebel CRM y tres para Oracle Commerce.
Se incluyen también 11 nuevos parches para Oracle Communications Applications, nueve de ellos tratan vulnerabilidades explotables remotamente sin autenticación. También se solucionan 47 nuevas vulnerabilidades en Oracle Financial Services Applications (25 explotables remotamente).
Una vulnerabilidad exploitable remotamente sin autenticación en Oracle Health Sciences Applications y otras seis en Oracle Hospitality Applications (solo una exploitable remotamente).
Una actualización para Oracle Insurance Applications y 39 para Oracle Retail Applications, 32 de ellas explotables remotamente sin autenticación.
También se incluyen siete nuevos parches de seguridad para Oracle Utilities Applications (todas explotables remotamente sin autenticación) y siete para la suite de productos Oracle Primavera, cuatro de ellas podrían explotarse de forma remota sin autenticación.
En lo referente a Oracle Java SE se incluyen ocho nuevos parches de seguridad, siete de ellos referentes a vulnerabilidades que podrían ser explotadas por un atacante remoto sin autenticar.
Esta actualización también contiene 15 parches para Oracle Virtualización, 13 para Oracle Support Tools y uno para Oracle Hyperion.

Se recomienda comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, disponibles desde la notificación oficial en:

Oracle Critical Patch Update Advisory – April 2017

http://www.oracle.com/technetwork/security-advisory/cpuapr2017-3236618.html

Más información:

Oracle Critical Patch Update Advisory - April 2017

http://www.oracle.com/technetwork/security-advisory/cpuapr2017-3236618.html

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

miércoles, 18 de enero de 2017

Oracle corrige 270 vulnerabilidades en su actualización de seguridad de enero

Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica el primer boletín de seguridad del año. Contiene parches para 270 nuevas vulnerabilidades diferentes en múltiples productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL.

Los fallos se dan en varios componentes de múltiples productos y como es habitual la lista de productos afectados es extensa:

Oracle Database Server, versiones 11.2.0.4 y 12.1.0.2
Oracle Secure Backup, versiones anteriores a 12.1.0.3
Spatial, versiones anteriores a 1.2
Oracle Fusion Middleware, versiones 11.1.1.7, 11.1.1.9, 11.1.2.3, 11.1.2.4, 12.1.3.0, 12.2.1.0 y 12.2.1.1
Oracle GlassFish Server, versiones 2.1.1, 3.0.1 y 3.1.2
Oracle JDeveloper, versiones 11.1.1.7.0, 11.1.1.9.0, 11.1.2.4.0, 12.1.3.0.0, 12.2.1.0.0, 12.2.1.1.0, 12.2.1.2.0
Oracle Outside In Technology, versiones 8.5.2 y 8.5.3
Oracle Tuxedo, versión 12.1.1
Oracle WebLogic Server, versiones 10.3.6.0, 12.1.3.0, 12.2.1.0 y 12.2.1.1
Application Testing Suite, versiones 12.4.0.2, 12.5.0.2 y 12.5.0.3
Enterprise Manager Base Platform, versiones 12.1.0.5, 13.1 y 13.2
Enterprise Manager Ops Center, versiones 12.1.4, 12.2.2 y 12.3.2
Oracle E-Business Suite, versiones 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4, 12.2.5 y 12.2.6
Oracle Transportation Management, versiones 6.1 y 6.2
PeopleSoft Enterprise HCM ePerformance, versión 9.2
PeopleSoft Enterprise PeopleTools, versiones 8.54 y 8.55
JD Edwards EnterpriseOne Tools, versión 9.2.1.1
Siebel Applications, versión 16.1
Oracle Commerce Platform, versiones 10.0.3.5, 10.2.0.5 y 11.2.0.2
Oracle Fusion Applications, versiones 11.1.2 hasta 11.1.9
Oracle Communications Indexing and Search Service, versiones anteriores a 1.0.5.28.0
Oracle Communications Network Charging and Control, versiones 4.4.1.5, 5.0.0.1, 5.0.0.2, 5.0.1.0 y 5.0.2.0
Oracle Communications Network Intelligence, versión 7.3.0.0
Oracle FLEXCUBE Core Banking, versiones 5.1.0, 5.2.0 y 11.5.0
Oracle FLEXCUBE Direct Banking, versiones 12.0.0, 12.0.1, 12.0.2 y 12.0.3
Oracle FLEXCUBE Enterprise Limits and Collateral Management, versiones 12.0.0 y 12.0.2
Oracle FLEXCUBE Investor Servicing, versiones 12.0.1, 12.0.2, 12.0.4, 12.1.0 y 12.3.0
Oracle FLEXCUBE Private Banking, versiones 2.0.1, 2.2.0 y 12.0.1
Oracle FLEXCUBE Universal Banking, versiones 11.3.0, 11.4.0, 12.0.0, 12.0.1, 12.0.2, 12.0.3, 12.1.0 y 12.2.0
MICROS Lucas, versiones 2.9.1, 2.9.2, 2.9.3, 2.9.4 y 2.9.5
Oracle Retail Allocation, versiones 12.0, 13.0, 13.1, 13.2, 13.3, 14.0 y 14.1
Oracle Retail Assortment Planning, versiones 14.1 y 15.0
Oracle Retail Order Broker, versiones 4.1, 5.1, 5.2, 15.0 y 16.0
Oracle Retail Predictive Application Server, versiones 13.1, 13.2, 13.3, 13.4, 14.0, 14.1 y 15.0
Oracle Retail Price Management, versiones 13.1, 13.2, 14.0 y 14.1
Primavera P6 Enterprise Project Portfolio Management, versiones 8.2, 8.3, 8.4, 15.1, 15.2, 16.1 y 16.2
Oracle Java SE, versiones 6u131, 7u121 y 8u112
Oracle Java SE Embedded, versión 8u111
Oracle JRockit, versión R28.3.12
Oracle VM Server for Sparc, versiones 3.2 y 3.4
Solaris, versión 11.3
Oracle VM VirtualBox, versiones anteriores a 5.0.32 y anteriores a 5.1.14
MySQL Cluster, versiones 7.2.26 y anteriores, 7.3.14 y anteriores y 7.4.12 y anteriores
MySQL Enterprise Monitor, versiones 3.1.3.7856 y anteriores, 3.1.4.7895 y anteriores, 3.1.5.7958 y anteriores, 3.2.1.1049 y anteriores, 3.2.4.1102 y anteriores y 3.3.0.1098 y anteriores
MySQL Server, versiones 5.5.53 y anteriores, 5.6.34 y anteriores y 5.7.16 y anteriores

A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas:

Cinco nuevas vulnerabilidades corregidas en Oracle Database Server (tres de ellas explotable remotamente sin autenticación), dos vulnerabilidades en Oracle Secure Backup (ambas explotables remotamente sin autenticación) y una nueva vulnerabilidad corregida en Oracle Big Data Graph.
Otras 18 vulnerabilidades afectan a Oracle Fusion Middleware. 16 de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Oracle Tuxedo, Oracle WebLogic Server, Oracle GlassFish Server, Oracle Fusion Middleware, Oracle Outside In Technology y Oracle JDeveloper.
Esta actualización contiene ocho nuevas actualizaciones de seguridad para Oracle Enterprise Manager Grid Control, seis de ellas explotables remotamente sin autenticación.
Dentro de Oracle Applications, 121 parches son para Oracle E-Business Suite, uno es para la suite de productos Oracle Supply Chain, siete para productos Oracle PeopleSoft, uno para productos Oracle JD Edwards, tres para Oracle Siebel CRM y uno para Oracle Commerce.
Se incluyen también cuatro nuevos parches para Oracle Communications Applications, dos de ellos tratan vulnerabilidades explotables remotamente sin autenticación. También soluciona 37 nuevas vulnerabilidades en Oracle Financial Services Applications (14 explotables remotamente).
Esta actualización contiene ocho nuevas actualizaciones de seguridad para Oracle Retail Applications, dos de ellas explotables remotamente sin autenticación.
También se incluyen cuatro nuevos parches de seguridad para software Oracle Primavera Products Suite, dos de ellas podrían explotarse de forma remota sin autenticación.
En lo referente a Oracle Java SE se incluyen 17 nuevos parches de seguridad, 16 de ellos referentes a vulnerabilidades que podrían ser explotadas por un atacante remoto sin autenticar.
Para la suite de productos Oracle Sun Systems se incluyen cuatro nuevas actualizaciones, tres de ellas afectan directamente a Solaris.
27 nuevas vulnerabilidades afectan a MySQL Server (cinco de ellas podrían ser explotadas por un atacante remoto sin autenticar).
Esta actualización también contiene cuatro parches para Oracle Virtualización.

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial en:

Oracle Critical Patch Update Advisory – January 2017

http://www.oracle.com/technetwork/security-advisory/cpujan2017-2881727.html

Más información:

Oracle Critical Patch Update Advisory - January 2017

http://www.oracle.com/technetwork/security-advisory/cpujan2017-2881727.html

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

miércoles, 19 de octubre de 2016

Oracle corrige 253 vulnerabilidades en su actualización de seguridad de octubre

Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica su boletín de seguridad de octubre. Contiene parches para 253 nuevas vulnerabilidades diferentes en múltiples productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL.

Los fallos se dan en varios componentes de múltiples productos y como es habitual la lista de productos afectados es extensa:

Application Express, versiones anteriores a la 5.0.4.0.7
Oracle Database Server, versiones 11.2.0.4 y 12.1.0.2
Oracle Secure Backup, versiones anteriores a la 10.4.0.4.0 y anteriores a la 12.1.0.2.0
Big Data Graph, versiones anteriores a la 1.2
NetBeans, versión 8.1
Oracle BI Publisher, versiones 11.1.1.7.0, 11.1.1.9.0 y 12.2.1.0.0
Oracle Big Data Discovery, versiones 1.1.1, 1.1.3 y 1.2.0
Oracle Business Intelligence Enterprise Edition, versiones 11.1.1.7.0, 11.1.1.9.0, 12.1.1.0.0 y 12.2.1.1.0
Oracle Data Integrator, versiones 11.1.1.7.0, 11.1.1.9.0, 12.1.2.0.0, 12.1.3.0.0, 12.2.1.0.0 y 12.2.1.1.0
Oracle Discoverer, versiones 11.1.1.7.0
Oracle Fusion Middleware, versiones 11.1.1.7, 11.1.1.9, 11.1.2.3, 11.1.2.4, 12.1.3.0, 12.2.1.0 y 12.2.1.1
Oracle GlassFish Server, versiones 2.1.1, 3.0.1 y 3.1.2
Oracle Identity Manager
Oracle iPlanet Web Proxy Server, version 4.0
Oracle iPlanet Web Server, version 7.0
Oracle Outside In Technology, versiones 8.4.0, 8.5.1, 8.5.2 y 8.5.3
Oracle Platform Security for Java, versiones 12.1.3.0.0, 12.2.1.0.0 y 12.2.1.1.0
Oracle Web Services, versiones 11.1.1.7.0, 11.1.1.9.0, 12.1.3.0.0 y 12.2.1.0.0
Oracle WebCenter Sites, versiones 12.2.1.0.0, 12.2.1.1.0 y 12.2.1.2.0
Oracle WebLogic Server, versiones 10.3.6.0, 12.1.3.0, 12.2.1.0 y 12.2.1.1
Enterprise Manager, versiones 12.1.4, 12.2.2 y 12.3.2
Enterprise Manager Base Platform, version 12.1.0.5
Oracle Application Testing Suite, versiones 12.5.0.1, 12.5.0.2 y 12.5.0.3
Oracle E-Business Suite, versiones 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4, 12.2.5 y 12.2.6
Oracle Advanced Supply Chain Planning, versiones 12.2.3, 12.2.4 y 12.2.5
Oracle Agile Engineering Data Management, versiones 6.1.3.0 y 6.2.0.0
Oracle Agile PLM, versiones 9.3.4 y 9.3.5
Oracle Agile Product Lifecycle Management for Process, versiones 6.1.0.4, 6.1.1.6 y 6.2.0.0
Oracle Transportation Management, versiones 6.1, 6.2, 6.3.0, 6.3.1, 6.3.2, 6.3.3, 6.3.4, 6.3.5, 6.3.6 y 6.3.7
PeopleSoft Enterprise HCM, versión 9.2
PeopleSoft Enterprise PeopleTools, versiones 8.54 y 8.55
PeopleSoft Enterprise SCM Services Procurement, versiones 9.1 y 9.2
JD Edwards EnterpriseOne Tools, versión 9.1
JD Edwards World Security, versión A9.4
Siebel Applications, versiones 7.1 y 16.1
Oracle Commerce Guided Search, versiones 6.2.2, 6.3.0, 6.4.1.2, 6.5.0, 6.5.1 y 6.5.2
Oracle Commerce Guided Search / Oracle Commerce Experience Manager, versiones 3.1.1, 3.1.2, 6.2.2, 6.3.0, 6.4.1.2, 6.5.0, 6.5.1, 6.5.2, 6.5.3, 11.0, 11.1 y 11.2
Oracle Commerce Platform, versiones 10.0.3.5, 10.2.0.5 y 11.2.0.1
Oracle Commerce Service Center, versiones 10.0.3.5 y 10.2.0.5
Oracle Fusion Applications, versiones 11.1.2 hasta 11.1.9
Oracle Communications Policy Management, versiones 9.7.3, 9.9.1, 10.4.1, 12.1.1 y anteriores
Oracle Enterprise Communications Broker, versiones Pcz2.0.0m4p5 y anteriores
Oracle Enterprise Session Border Controller, versiones Ecz7.3m2p2 y anteriores
Oracle Banking Digital Experience, versión 15.1
Oracle Financial Services Analytical Applications Infrastructure, versiones 7.3.0, 7.3.1, 7.3.2, 7.3.3, 7.3.4, 7.3.5, 8.0.0, 8.0.1, 8.0.2 y 8.0.3
Oracle Financial Services Lending and Leasing, versiones 14.1.0 y 14.2.0
Oracle FLEXCUBE Core Banking, versiones 11.5.0.0.0 y 11.6.0.0.0
Oracle FLEXCUBE Enterprise Limits and Collateral Management, versiones 12.0.0 y 12.1.0
Oracle FLEXCUBE Investor Servicing, version 12.0.1
Oracle FLEXCUBE Private Banking, versiones 2.0.0, 2.0.1, 2.2.0, 12.0.0, 12.0.1, 12.0.2, 12.0.3 y 12.1.0
Oracle FLEXCUBE Universal Banking, versiones 11.3.0, 11.4.0, 12.0.1, 12.0.2, 12.0.3, 12.1.0, 12.2.0, 12.87.1 y 12.87.2
Oracle Life Sciences Data Hub, versiones 2.x
Oracle Hospitality OPERA 5 Property Services, versiones 5.4.0.0, 5.4.1.0, 5.4.2.0, 5.4.3.0, 5.5.0.0 y 5.5.1.0
Oracle Insurance IStream, versión 4.3.2
MICROS XBR, versiones 7.0.2 y 7.0.4
Oracle Retail Back Office, versiones 13.0, 13.1, 13.2, 13.3, 13.4, 14.0 y 14.1
Oracle Retail Central Office, versiones 13.0, 13.1, 13.2, 13.3, 13.4, 14.0 y 14.1
Oracle Retail Clearance Optimization Engine, versiones 13.2, 13.3, 13.4 y 14.0
Oracle Retail Customer Insights, versión 15.0
Oracle Retail Merchandising Insights, versión 15.0
Oracle Retail Returns Management, versiones 13.0, 13.1, 13.2, 13.3, 13.4, 14.0 y 14.1
Oracle Retail Xstore Payment, versión 1.x
Oracle Retail Xstore Point of Service, versiones 5.0, 5.5, 6.0, 6.5, 7.0 y 7.1
Primavera P6 Enterprise Project Portfolio Management, versiones 8.4, 15.x y 16.x
Primavera P6 Professional Project Management, versiones 8.3, 8.4, 15.x y 16.x
Oracle Java SE, versiones 6u121, 7u111 y 8u102
Oracle Java SE Embedded, versión 8u101
Solaris, versiones 10 y 11.3
Solaris Cluster, versiones 3.3 y 4.3
Sun ZFS Storage Appliance Kit (AK), versión AK 2013
Oracle VM VirtualBox, versiones anteriores a la 5.0.28, anteriores a la 5.1.8
Secure Global Desktop, versiones 4.7 y 5.2
Sun Ray Operating Software, versiones anteriores a la 11.1.7
Virtual Desktop Infrastructure, versiones anteriores a la 3.5.3
MySQL Connector, versiones 2.0.4 y anteriores y 2.1.3 y anteriores
MySQL Server, versiones 5.5.52 y anteriores, 5.6.33 y anteriores y 5.7.15 y anteriores

A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas:

Nueve nuevas vulnerabilidades corregidas en Oracle Database Server (una de ellas explotable remotamente sin autenticación), 2 vulnerabilidades en Oracle Secure Backup (ambas explotables remotamente sin autenticación) y una nueva vulnerabilidad corregida en Oracle Big Data Graph. Afectan a los componentes: OJVM, Kernel PDB, Application Express, RDBMS Programmable Interface, RDBMS Security y RDBMS Security and SQL*Plus.
Otras 29 vulnerabilidades afectan a Oracle Fusion Middleware. 19 de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: BI Publisher (formerly XML Publisher), NetBeans, Oracle Big Data Discovery, Oracle Business Intelligence Enterprise Edition, Oracle Data Integrator, Oracle Discoverer, Oracle GlassFish Server, Oracle Identity Manager, Oracle iPlanet Web Proxy Server, Oracle iPlanet Web Server, Oracle Outside In Technology, Oracle Platform Security for Java, Oracle Web Services y Oracle WebCenter Sites.
Esta actualización contiene cinco nuevas actualizaciones de seguridad para Oracle Enterprise Manager Grid Control, cuatro de ellas explotables remotamente sin autenticación. Afectan a Enterprise Manager, Oracle Application Testing Suite y Enterprise Manager Base Platform.
Dentro de Oracle Applications, 21 parches son para Oracle E-Business Suite, 19 parches son para la suite de productos Oracle Supply Chain, 11 para productos Oracle PeopleSoft, dos para productos Oracle JD Edwards, tres para Oracle Siebel CRM y siete para Oracle Commerce.
Se incluyen también 36 nuevos parches para Oracle Communications Applications, 31 de ellos tratan vulnerabilidades explotables remotamente sin autenticación. De forma similar tan solo una nueva corrección para Oracle Health Sciences Applications (aunque podría ser explotable remotamente sin autenticación). También incluye un nuevo parche para Oracle Insurance Applications y tres para Oracle Hospitality Applications.
Esta actualización contiene 10 nuevas actualizaciones de seguridad para Oracle Retail Applications, 10 de ellas explotables remotamente sin autenticación.
También se incluyen dos nuevos parches de seguridad para software Oracle Primavera Products Suite, una de ellas podría explotarse de forma remota sin autenticación.
En lo referente a Oracle Java SE se incluyen 7 nuevos parches de seguridad, todos referentes a vulnerabilidades que podrían ser explotadas por un atacante remoto sin autenticar.
Para la suite de productos Oracle Sun Systems se incluyen 16 nuevas actualizaciones, 10 de ellas afectan directamente a Solaris.
31 nuevas vulnerabilidades afectan a MySQL Server (dos de ellas podrían ser explotada por un atacante remoto sin autenticar).
Esta actualización también contiene 13 parches para Oracle Virtualización.

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial en:

Oracle Critical Patch Update Advisory – October 2016

http://www.oracle.com/technetwork/security-advisory/cpuoct2016-2881722.html

Más información:

Oracle Critical Patch Update Advisory - October 2016

http://www.oracle.com/technetwork/security-advisory/cpuoct2016-2881722.html

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

miércoles, 20 de julio de 2016

Oracle corrige 276 vulnerabilidades en su actualización de seguridad de julio

Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica su boletín de seguridad de julio. Contiene parches para 276 nuevas vulnerabilidades diferentes en múltiples productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL.

La gran cantidad de problemas corregidos, que en esta ocasión se eleva a las 276 vulnerabilidades, convierte a este boletín de seguridad como el más numeroso de todos los publicados por Oracle hasta la fecha. Los fallos se dan en varios componentes de múltiples productos:

Application Express, versiones anteriores a 5.0.4
Oracle Database Server, versiones 11.2.0.4, 12.1.0.1 y 12.1.0.2
Oracle Access Manager, versiones 10.1.4.x y 11.1.1.7
Oracle BI Publisher, versiones 11.1.1.7.0, 11.1.1.9.0 y 12.2.1.0.0
Oracle Business Intelligence Enterprise Edition, versiones 11.1.1.7.0, 11.1.1.9.0 y 11.2.1.0.0
Oracle Directory Server Enterprise Edition, versiones 7.0 y 11.1.1.7.0
Oracle Exalogic Infrastructure, versiones 1.x, 2.x
Oracle Fusion Middleware, versiones 11.1.1.7, 11.1.1.8, 11.1.1.9, 11.1.2.2, 11.1.2.3, 12.1.3.0 y 12.2.1.0
Oracle GlassFish Server, versiones 2.1.1, 3.0.1 y 3.1.2
Oracle HTTP Server, versiones 11.1.1.9 y 12.1.3.0
Oracle JDeveloper, versiones 11.1.1.7.0, 11.1.1.9.0, 11.1.2.4.0, 12.1.3.0.0 y 12.2.1.0.0
Oracle Portal, versión 11.1.1.6
Oracle TopLink, versiones 12.1.3.0, 12.2.1.0 y 12.2.1.1
Oracle WebCenter Sites, versiones 11.1.1.8 y 12.2.1.0
Oracle WebLogic Server, versiones 10.3.6.0, 12.1.3.0 y 12.2.1.0
Outside In Technology, versiones 8.5.0, 8.5.1 y 8.5.2
Hyperion Financial Reporting, versión 11.1.2.4
Enterprise Manager Base Platform, versiones 12.1.0.5 y 13.1.0.0
Enterprise Manager for Fusion Middleware, versiones 11.1.1.7 y 11.1.1.9
Enterprise Manager Ops Center, versiones 12.1.4, 12.2.2 y 12.3.2
Oracle E-Business Suite, versiones 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4 y 12.2.5
Oracle Agile Engineering Data Management, versiones 6.1.3.0 y 6.2.0.0
Oracle Agile PLM, versiones 9.3.4 y 9.3.5
Oracle Demand Planning, versiones 12.1 y 12.2
Oracle Transportation Management, versiones 6.3.0, 6.3.1, 6.3.2, 6.3.3, 6.3.4, 6.3.5, 6.3.6, 6.3.7, 6.4.0 y 6.4.1
PeopleSoft Enterprise FSCM, versiones 9.1 y 9.2
PeopleSoft Enterprise PeopleTools, versiones 8.53, 8.54 y 8.55
JD Edwards EnterpriseOne Tools, versión 9.2.0.5
Oracle Knowledge, versión 8.5.x
Siebel Applications, versiones 8.1.1, 8.2.2, IP2014, IP2015 y IP2016
Oracle Fusion Applications, versiones 11.1.2 hasta 11.1.10
Oracle Communications ASAP, versiones 7.0, 7.2 y 7.3
Oracle Communications Core Session Manager, versiones 7.2.5 y 7.3.5
Oracle Communications EAGLE Application Processor, versión 16.0
Oracle Communications Messaging Server, versiones 6.3, 7.0, 8.0, anteriores a 7.0.5.37.0 y 8.0.1.1.0
Oracle Communications Network Charging and Control, versiones 4.4.1.5.0, 5.0.0.1.0, 5.0.0.2.0, 5.0.1.0.0 y 5.0.2.0.0
Oracle Communications Operations Monitor, versiones anteriores a 3.3.92.0.0
Oracle Communications Policy Management, versiones anteriores a 9.9.2
Oracle Communications Session Border Controller, versiones 7.2.0 y 7.3.0
Oracle Communications Unified Session Manager, versiones 7.2.5 y 7.3.5
Oracle Enterprise Communications Broker, versiones anteriores a PCz 2.0.0m4p1
Oracle Banking Platform, versiones 2.3.0, 2.4.0, 2.4.1 y 2.5.0
Oracle Financial Services Lending and Leasing, versiones 14.1 y 14.2
Oracle FLEXCUBE Direct Banking, versiones 12.0.1, 12.0.2 y 12.0.3
Oracle Health Sciences Clinical Development Center, versiones 3.1.1.x y 3.1.2.x
Oracle Health Sciences Information Manager, versiones 1.2.8.3, 2.0.2.3 y 3.0.1.0
Oracle Healthcare Analytics Data Integration, versión 3.1.0.0.0
Oracle Healthcare Master Person Index, versiones 2.0.12, 3.0.0 y 4.0.1
Oracle Documaker, versiones anteriores a 12.5
Oracle Insurance Calculation Engine, versiones 9.7.1, 10.1.2 y 10.2.2
Oracle Insurance Policy Administration J2EE, versiones 9.6.1, 9.7.1, 10.0.1, 10.1.2, 10.2.0 y 10.2.2
Oracle Insurance Rules Palette, versiones 9.6.1, 9.7.1, 10.0.1, 10.1.2, 10.2.0 y 10.2.2
MICROS Retail XBRi Loss Prevention, versiones 10.0.1, 10.5.0, 10.6.0, 10.7.0, 10.8.0 y 10.8.1
Oracle Retail Central, Back Office, Returns Management, versiones 13.1, 13.2, 13.3, 13.4, 14.0, 14.1, 12.0 y 13.0
Oracle Retail Integration Bus, versiones 13.0, 13.1, 13.2, 14.0, 14.1 y 15.0
Oracle Retail Order Broker, versiones 4.1, 5.1, 5.2 y 15.0
Oracle Retail Service Backbone, versiones 13.0, 13.1, 13.2, 14.0, 14.1 y 15.0
Oracle Retail Store Inventory Management, versiones 12.0, 13.0, 13.1, 13.2, 14.0 y 14.1
Oracle Utilities Framework, versiones 2.2.0.0.0, 4.1.0.1.0, 4.1.0.2.0, 4.2.0.1.0, 4.2.0.2.0, 4.2.0.3.0, 4.3.0.1.0 y 4.3.0.2.0
Oracle Utilities Network Management System, versiones 1.10.0.6.27, 1.11.0.4.41, 1.11.0.5.4, 1.12.0.1.16, 1.12.0.2.12 y 1.12.0.3.5
Oracle Utilities Work and Asset Management, versión 1.9.1.2.8
Oracle In-Memory Policy Analytics, versión 12.0.1
Oracle Policy Automation, versiones 10.3.0, 10.3.1, 10.4.0, 10.4.1, 10.4.2, 10.4.3, 10.4.4, 10.4.5, 10.4.6, 12.1.0 y 12.1.1
Oracle Policy Automation Connector for Siebel, versiones 10.3.0, 10.4.0, 10.4.1, 10.4.2, 10.4.3, 10.4.4, 10.4.5 y 10.4.6
Oracle Policy Automation for Mobile Devices, versión 12.1.1
Primavera Contract Management, versión 14.2
Primavera P6 Enterprise Project Portfolio Management, versiones 8.2, 8.3, 8.4, 15.1, 15.2 y 16.1
Oracle Java SE, versiones 6u115, 7u101 y 8u92
Oracle Java SE Embedded, versión 8u91
Oracle JRockit, versión R28.3.10
40G 10G 72/64 Ethernet Switch, versión 2.0.0
Fujitsu M10-1, M10-4, M10-4S Servers, versiones anteriores a XCP 2320
ILOM, versiones 3.0, 3.1 y 3.2
Oracle Switch ES1-24, versión 1.3
Solaris, versiones 10 y 11.3
Solaris Cluster, versiones 3.3 y 4.3
SPARC Enterprise M3000, M4000, M5000, M8000, M9000 Servers y versiones anteriores a XCP 1121
Sun Blade 6000 Ethernet Switched NEM 24P 10GE, versión 1.2
Sun Data Center InfiniBand Switch 36, versiones anteriores a 2.2.2
Sun Network 10GE Switch 72p, versión 1.2
Sun Network QDR InfiniBand Gateway Switch, versiones anteriores a 2.2.2
Oracle Secure Global Desktop, versiones 4.63, 4.71 y 5.2
Oracle VM VirtualBox, versiones anteriores a 5.0.26
MySQL Server, versiones 5.5.49 y anteriores, 5.6.30 y anteriores, 5.7.12 y anteriores

A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas:

Nueve nuevas vulnerabilidades corregidas en Oracle Database Server, cinco de ellas explotables remotamente sin autenticación. Afectan a los componentes: OJVM, JDBC, Portable Clusterware, Data Pump Import, Application Express, RDBMS, DB Sharding y Database Vault.
Otras 40 vulnerabilidades afectan a Oracle Fusion Middleware. 35 de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: BI Publisher (formerly XML Publisher), Oracle Access Manager, Oracle Business Intelligence Enterprise Edition, Oracle Directory Server Enterprise Edition, Oracle Exalogic Infrastructure, Oracle GlassFish Server, Oracle HTTP Server, Oracle JDeveloper, Oracle Portal, Oracle TopLink, Oracle WebCenter Sites y Outside In Technology.
Esta actualización contiene 10 nuevas actualizaciones de seguridad para Oracle Enterprise Manager Grid Control, siete de ellas explotables remotamente sin autenticación. Afectan a Enterprise Manager Base Platform, Enterprise Manager for Fusion Middleware y Enterprise Manager Ops Center.
Dentro de Oracle Applications, 23 parches son para Oracle E-Business Suite, 25 parches son para la suite de productos Oracle Supply Chain, 7 para productos Oracle PeopleSoft, uno para productos Oracle JD Edwards y 16 para Oracle Siebel CRM.
Se incluyen también 16 nuevos parches para Oracle Communications Applications, 10 de ellos tratan vulnerabilidades explotables remotamente sin autenticación. De forma similar 5 nuevas correcciones para Oracle Health Sciences Applications, aunque solo una de ellas podría ser explotable remotamente sin autenticación. También incluyen ocho parches para Oracle Insurance Applications, aunque ninguna de las vulnerabilidades es explotable remotamente sin autenticación.
Esta actualización contiene 16 nuevas actualizaciones de seguridad para Oracle Retail Applications, seis de ellas explotables remotamente sin autenticación. Otras tres actualizaciones para Oracle Utilities Applications, cuatro para Oracle Policy Automation y 15 para la suite de productos Oracle Primavera.
También se incluyen cuatro nuevos parches de seguridad para software Oracle Financial Services. Tres de las vulnerabilidades podrían explotarse de forma remota sin autenticación.
En lo referente a Oracle Java SE se incluyen 13 nuevos parches de seguridad, nueve referentes a vulnerabilidades que podrían ser explotadas por un atacante remoto sin autenticar.
Para la suite de productos Oracle Sun Systems se incluyen 34 nuevas actualizaciones, ocho de ellas afectan directamente a Solaris.
22 nuevas vulnerabilidades afectan a MySQL Server (tres de ellas podrían ser explotada por un atacante remoto sin autenticar).
Esta actualización también contiene cuatro parches para Oracle Linux y Virtualización y otro para Oracle Hyperion.

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial en:

Oracle Critical Patch Update Advisory – July 2016

http://www.oracle.com/technetwork/security-advisory/cpujul2016-2881720.html

Más información:

Oracle Critical Patch Update Advisory - July 2016

http://www.oracle.com/technetwork/security-advisory/cpujul2016-2881720.html

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

miércoles, 20 de abril de 2016

Oracle corrige 136 vulnerabilidades en su actualización de seguridad de abril

Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica su boletín de seguridad de abril. Contiene parches para 136 nuevas vulnerabilidades diferentes en múltiples productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL.

Los fallos se dan en varios componentes de los productos:

Oracle BI Publisher, versión 12.2.1.0.0
Oracle Database Server, versiones 11.2.0.4, 12.1.0.1 y 12.1.0.2
Oracle API Gateway, versiones 11.1.2.3.0 y 11.1.2.4.0
Oracle Business Intelligence Enterprise Edition, versiones 11.1.1.7.0, 11.1.1.9.0 y 12.2.1.0.0
Oracle Exalogic Infrastructure, versiones 1.0 y 2.0
Oracle GlassFish Server, versión 2.1.1
Oracle HTTP Server, versiones 12.1.2.0 y 12.1.3.0
Oracle iPlanet Web Proxy Server, versión 4.0
Oracle iPlanet Web Server, versión 7.0
Oracle OpenSSO, versiones 3.0-0.7
Oracle Outside In Technology, versiones 8.5.0, 8.5.1 y 8.5.2
Oracle Traffic Director, versiones 11.1.1.7.0 y 11.1.1.9.0
Oracle Tuxedo, versión 12.1.1.0
Oracle WebCenter Sites, versiones 11.1.1.8.0 y 12.2.1
Oracle WebLogic Server, versiones 10.3.6, 12.1.2, 12.1.3 y 12.2.1
Oracle Application Testing Suite, versiones 12.4.0.2 y 12.5.0.2
OSS Support Tools Oracle Explorer, versión 8.11.16.3.8
Oracle E-Business Suite, versiones 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4 y 12.2.5
Oracle Agile Engineering Data Management, versiones 6.1.3.0 y 6.2.0.0
Oracle Agile PLM, versiones 9.3.1.1, 9.3.1.2, 9.3.2 y 9.3.3
Oracle Complex Maintenance, Repair, and Overhaul, versiones 12.1.1, 12.1.2 y 12.1.3
Oracle Configurator, versiones 12.1 y 12.2
Oracle Transportation Management, versiones 6.1 y 6.2
PeopleSoft Enterprise HCM, versiones 9.1 y 9.2
PeopleSoft Enterprise HCM ePerformance, versión 9.2
PeopleSoft Enterprise PeopleTools, versiones 8, 8.53, 8.54 y 8.55
PeopleSoft Enterprise SCM, versiones 9.1 y 9.2
JD Edwards EnterpriseOne Tools, versiones 9.1 y 9.2
Siebel Applications, versiones 8.1.1 y 8.2.2
Oracle Communications User Data Repository, versión 10.0.1
Oracle Retail MICROS ARS POS, versión 1.5
Oracle Retail MICROS C2, versión 9.89.0.0
Oracle Retail Xstore Point of Service, versiones 5.0, 5.5, 6.0, 6.5, 7.0 y 7.1
Oracle Life Sciences Data Hub, versión 2.1
Oracle FLEXCUBE Direct Banking, versiones 12.0.2 y 12.0.3
Oracle Java SE, versiones 6u113, 7u99 y 8u77
Oracle Java SE Embedded, versión 8u77
Oracle JRockit, versión R28.3.9
Fujitsu M10-1, M10-4, M10-4S Servers, versiones anteriores a la XCP 2290
Oracle Ethernet Switch ES2-72, Oracle Ethernet Switch ES2-64, versiones anteriores a la 2.0.0.6
Solaris, versiones 10 y 11.3
Solaris Cluster, versión 4.2
SPARC Enterprise M3000, M4000, M5000, M8000, M9000 Servers, versiones anteriores a la XCP 1121
Sun Storage Common Array Manager, versión 6.9.0
Oracle VM VirtualBox, versiones anteriores a la 4.3.36 y anteriores a la 5.0.18
Sun Ray Software, versión 11.1
MySQL Enterprise Monitor, versiones 3.0.25 y anteriores, 3.1.2 y anteriores
MySQL Server, versiones 5.5.48 y anteriores, 5.6.29 y anteriores y 5.7.11 y anteriores
Oracle Berkeley DB, versiones 11.2.5.0.32, 11.2.5.1.29, 11.2.5.2.42, 11.2.5.3.28, 12.1.6.0.35 y 12.1.6.1.26

A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas:

Cinco nuevas vulnerabilidades corregidas en Oracle Database Server, dos de ellas explotables remotamente sin autenticación. Afectan a los componentes: Java VM, Oracle OLAP y RDBMS Security.
Otras 22 vulnerabilidades afectan a Oracle Fusion Middleware. 21 de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Oracle API Gateway, Oracle BI Publisher, Oracle Business Intelligence Enterprise Edition, Oracle Exalogic Infrastructure, Oracle GlassFish Server, Oracle HTTP Server, Oracle iPlanet Web Proxy Server, Oracle iPlanet Web Server, Oracle OpenSSO, Oracle Outside In Technology, Oracle Traffic Director, Oracle Tuxedo y Oracle WebCenter Sites.
Esta actualización contiene dos nuevas actualizaciones de seguridad para Oracle Enterprise Manager Grid Control, solo una de ellas explotables remotamente sin autenticación. Afectan a Oracle Application Testing Suite y OSS Support Tools Oracle Explorer.
Dentro de Oracle Applications, siete parches son para Oracle E-Business Suite, seis parches son para la suite de productos Oracle Supply Chain, 15 para productos Oracle PeopleSoft, uno para productos Oracle JD Edwards y dos para Oracle Siebel CRM.
De forma similar dentro de la gama de aplicaciones Oracle Industry, uno para aplicaciones Oracle Communications, tres para aplicaciones Oracle Retail y uno para aplicaciones Oracle Health Sciences.
También se incluyen cuatro nuevos parches de seguridad para software Oracle Financial Services. Tres de las vulnerabilidades podrían explotarse de forma remota sin autenticación.
En lo referente a Oracle Java SE se incluyen nueve nuevos parches de seguridad, todos ellos referentes a vulnerabilidades que podrían ser explotadas por un atacante remoto sin autenticar.
Para la suite de productos Oracle Sun Systems se incluyen 18 nuevas actualizaciones, nueve de ellas afectan a Solaris.
31 nuevas vulnerabilidades afectan a MySQL Server (cuatro de ellas podrían ser explotada por un atacante remoto sin autenticar).
Esta actualización también contiene tres parches para Oracle Linux y Virtualización y cinco para Oracle Berkeley DB.

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial en:

Oracle Critical Patch Update Advisory - April 2016

http://www.oracle.com/technetwork/security-advisory/cpuapr2016v3-2985753.html

Más información:

Oracle Critical Patch Update Advisory - April 2016

http://www.oracle.com/technetwork/security-advisory/cpuapr2016v3-2985753.html

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

lunes, 28 de marzo de 2016

Actualización de Java por vulnerabilidad grave

Oracle ha publicado una actualización de la plataforma Java SE (Standard Edition) destinada a solucionar una nueva vulnerabilidad.

El problema, con CVE-2016-0636, afecta a Java cuando se ejecuta en navegadores. La vulnerabilidad no es aplicable a otras implementaciones Java habituales en servidores o aplicaciones de escritorio, que cargan y ejecutan código fiable.

Se ven afectados Oracle Java SE 7 Update 97 y Java SE 8 Update 73 y 74 para Windows, Solaris, Linux y Mac OS X. La vulnerabilidad podría explotarse en remoto y sin necesidad de autenticación. El fallo reside en el componente Hotspot y bastaría con que un usuario con una versión de Java afectada visite una web específicamente creada.

Los usuarios de Oracle Java SE pueden descargar la última versión desde

http://java.com.

Los usuarios de la plataforma Windows pueden usar las actualizaciones automáticas para obtener la última actualización.

Más información

Oracle Security Alert for CVE-2016-0636

http://www.oracle.com/technetwork/topics/security/alert-cve-2016-0636-2949497.html

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

viernes, 29 de enero de 2016

Oracle anuncia el final del plugin de Java ¡Por fin!

Una noticia que llevábamos tiempo esperando: Oracle ha anunciado que el plugin de Java desaparecerá de la próxima versión del JDK y JRE (versión 9).

Oracle adquirió Java en 2010 como parte de la compra de Sun Microsystems. Aunque la fama de ser uno de los vectores de ataque para la instalación de malware y realización de intrusiones viene ya de antiguo.

Durante un buen tiempo Java fue la auténtica bestia negra para la seguridad de los usuarios, la aparición de nuevos 0-days, vulnerabilidades, etc. era tan frecuente como en la actualidad estamos viendo en Flash. Cabe señalar que el último 0-day para Java es de julio del año pasado, después de más dos años sin ningún anuncio de una vulnerabilidad de este tipo.

Pero tal y como la propia Oracle confirma la razón detrás de este movimiento reside en que los propios desarrolladores de navegadores han decidido dejar de lado la posibilidad de incrustar Flash, Silverlight, Java y otras tecnologías basadas en plugins.

Con los principales navegadores (Internet Explorer, Edge, Chrome y Firefox) restringiendo y reduciendo el soporte de plugins en sus productos no tiene mucho sentido seguir insistiendo en nuevas versiones del plugin de Java. Un producto que requiere de terceros para funcionar, pero esos otros no le dejan funcionar. Oracle, por su parte, recomienda a los desarrolladores que consideren opciones alternativas como migrar los applets de Java a la tecnología Java Web Start.

Hay que destacar que en realidad esta noticia significa el final de los applets de Java. Una tecnología que se popularizo a mediados de los 90, que se terminó por convertir en un peligro para los navegadores y que durante mucho tiempo significó la principal puerta de entrada de malware en los sistemas. No podemos olvidar que Java es un lenguaje, una librería o conjunto de librerías y una plataforma en la que poder compilar y ejecutar código en una maquina virtual, lo que conforman los tres pilares fundamentales de Java.

El final del plugin de Java tiene fecha anunciada, el 22 de septiembre de 2016, cuando se publicará el JDK 9. Sin embargo seguro que aun seguiremos viéndolo durante mucho tiempo en los ordenadores y sistemas más antiguos.

Más información:

Moving to a Plugin-Free Web

https://blogs.oracle.com/java-platform-group/entry/moving_to_a_plugin_free

una-al-dia (07/02/2000) Importante agujero en la Máquina Virtual Java de Microsoft

http://unaaldia.hispasec.com/2000/02/importante-agujero-en-la-maquina.html

Migrating from Java Applets to plugin-free Java technologies

http://www.oracle.com/technetwork/java/javase/migratingfromapplets-2872444.pdf

Java 9 Schedule

https://blogs.oracle.com/java/entry/java_9_schedule_is_out

una-al-dia (15/07/2015) Nuevo 0day en Java

http://unaaldia.hispasec.com/2015/07/nuevo-0day-en-java.html

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

jueves, 21 de enero de 2016

Oracle corrige 248 vulnerabilidades en su actualización de seguridad de enero

Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica su boletín de seguridad de enero. Contiene parches para 248 vulnerabilidades diferentes en múltiples productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL.

Los fallos se dan en varios componentes de los productos:

Oracle Database Server, versiones 11.2.0.4, 12.1.0.1 y 12.1.0.2
Oracle GoldenGate, versiones 11.2 y 12.1.2
Oracle BI Publisher, versiones 11.1.1.7.0, 11.1.1.9.0 y 12.2.1.0.0
Oracle Business Intelligence Enterprise Edition, versiones 11.1.1.7.0 y 11.1.1.9.0
Oracle Endeca Server, versiones 7.3.0.0, 7.4.0.0, 7.5.0.0 y 7.6.0.0
Oracle Fusion Middleware, versiones 10.1.3.5, 11.1.1.7, 11.1.1.8, 11.1.1.9, 11.1.2.2, 11.1.2.3, 12.1.2.0, 12.1.3.0 y 12.2.1
Oracle GlassFish Server, versión 3.1.2
Oracle Identity Federation, versiones 11.1.1.7 y 11.1.2.2
Oracle Outside In Technology, versiones 8.5.0, 8.5.1 y 8.5.2
Oracle Tuxedo, versión 12.1.1.0
Oracle Web Cache, versiones 11.1.1.7.0 y 11.1.1.9.0
Oracle WebCenter Sites, versiones 7.6.2 y 11.1.1.8.0
Oracle WebLogic Portal, versión 10.3.6
Oracle WebLogic Server, versiones 10.3.6, 12.1.2, 12.1.3 y 12.2.1
Enterprise Manager Base Platform, versiones 11.1.0.1, 11.2.0.4, 12.1.0.4 y 12.1.0.5
Enterprise Manager Ops Center, versiones prior to 12.1.4, 12.2.0, 12.2.1 y 12.3.0
Oracle Application Testing Suite, versiones 12.4.0.2 y 12.5.0.2
Application Mgmt Pack for E-Business Suite, versión 12.1, 12.2
Oracle E-Business Suite, versiones 11.5.10.2, 12.1, 12.1.1, 12.1.2, 12.1.3, 12.2, 12.2.3, 12.2.4 y 12.2.5
Oracle Agile Engineering Data Management, versiones 6.1.2.2, 6.1.3.0 y 6.2.0.0
Oracle Agile PLM, versiones 9.3.1.1, 9.3.1.2, 9.3.2 y 9.3.3
Oracle Configurator, versiones 11.5.10.2, 12.1 y 12.2
PeopleSoft Enterprise HCM Global Payroll Switzerland, versiones 9.1 y 9.2
PeopleSoft Enterprise PeopleTools, versiones 8.53, 8.54 y 8.55
PeopleSoft Enterprise SCM eProcurement, versiones 9.1 y 9.2
PeopleSoft Enterprise SCM Order Management, versiones 9.1 y 9.2
PeopleSoft Enterprise SCM Purchasing, versiones 9.1 y 9.2
JD Edwards EnterpriseOne Tools, versiones 9.1 y 9.2
Oracle iLearning, versiones 6.0 y 6.1
Oracle Fusion Applications, versiones 11.1.2 a 11.1.10
Oracle Communications Converged Application Server - Service Controller, versión 6.1
Oracle Communications EAGLE LNP Application Processor, versión 10.0
Oracle Communications Online Mediation Controller, versión 6.1
Oracle Communications Service Broker, versiones 6.0 y 6.1
Oracle Communications Service Broker Engineered System Edition, versión 6.0
MICROS CWDirect, versiones 12.5, 13.0, 14.0, 15.0, 16.0, 17.0 y 18.0
Oracle Retail Open Commerce Platform Cloud Service, versiones 3.5, 4.5, 4.7 y 5.0
Oracle Retail Order Broker Cloud Service, versiones 4.0 y 4.1.
Oracle Retail Order Management System Cloud Service, versiones 3.5, 4.5, 4.7, 5.0 y 15.0
Oracle Retail Point-of-Service, versiones 13.4, 14.0 y 14.1
Oracle Java SE, versiones 6u105, 7u91 y 8u66
Oracle Java SE Embedded, versión 8u65
Oracle JRockit, versión R28.3.8
Oracle Switch ES1-24, versiones anteriores a 1.3.1.13
Solaris, versiones 10 y 11
Solaris Cluster, versiones 3.3, 4 y 4.2
Sun Blade 6000 Ethernet Switched NEM 24P 10GE, versiones anteriores a 1.2.2.13
Sun Network 10GE Switch 72p, versiones anteriores a 1.2.2.15
Oracle Secure Global Desktop, versiones 4.63, 4.71 y 5.2
Oracle VM VirtualBox, versiones anteriores a 4.0.36, anteriores a 4.1.44, anteriores a 4.2.36, anteriores a 4.3.36 y anteriores a 5.0.14
MySQL Server, versiones 5.5.46 y anteriores, 5.6.27 y anteriores y 5.7.9

A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas:

Siete nuevas vulnerabilidades corregidas en Oracle Database Server, ninguna explotable remotamente sin autenticación. Afectan a los componentes: Java VM, Workspace Manager, XDB - XML Database, Database Vault, Security, XDB - XML Database y XML Developer's Kit for C. Otras tres vulnerabilidades afectan a Oracle GoldenGate (todas ellas explotables remotamente sin autenticación).
Otras 27 vulnerabilidades afectan a Oracle Fusion Middleware. 17 de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Oracle WebCenter Sites, Oracle WebLogic Portal, Oracle WebLogic Server, Oracle GlassFish Server, Oracle Business Intelligence Enterprise Edition, Oracle Endeca Server, Oracle Tuxedo, Oracle BI Publisher, Web Cache, Oracle Identity Federation y Oracle Outside In Technology.
Esta actualización contiene 33 nuevas actualizaciones de seguridad para Oracle Enterprise Manager Grid Control, 23 de ellas explotables remotamente sin autenticación.
Dentro de Oracle Applications, 78 parches son para Oracle E-Business Suite, cinco parches son para la suite de productos Oracle Supply Chain, 11 para productos Oracle PeopleSoft, 7 para Oracle JD Edwards Products y uno para Oracle iLearning.
De forma similar dentro de la gama de aplicaciones Oracle Industry, cinco para Oracle Industry Applications y nueve para Oracle Retail Applications.
En lo referente a Oracle Java SE se incluyen ocho nuevos parches de seguridad, siete de ellos referentes a vulnerabilidades que podrían ser explotadas por un atacante remoto sin autenticar.
Para la suite de productos Oracle Sun Systems se incluyen 23 nuevas actualizaciones, siete de ellas afectan a Solaris.
22 nuevas vulnerabilidades afectan a MySQL Server (solo una de ellas podría ser explotada por un atacante remoto sin autenticar).
Esta actualización también contiene un parche para para Oracle Virtualization.

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial en:

Oracle Critical Patch Update Advisory - January 2016

http://www.oracle.com/technetwork/topics/security/cpuoct2015-2367953.html

Más información:

Oracle Critical Patch Update Advisory - January 2016

http://www.oracle.com/technetwork/topics/security/cpujan2016-2367955.html

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

miércoles, 21 de octubre de 2015

Oracle corrige 154 vulnerabilidades en su actualización de seguridad de octubre

Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica su boletín de seguridad de octubre. Contiene parches para 154 vulnerabilidades diferentes en múltiples productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL.

Los fallos se dan en varios componentes de los productos:

Oracle Database Server, versiones 11.2.0.4, 12.1.0.1 y 12.1.0.2
Mobile Server, versiones 10.3.0.3, 11.3.0.2 y 12.1.0.0
Oracle Access Manager, versiones 11.1.2.2 y 11.1.2.3
Oracle Business Intelligence Enterprise Edition, versiones 11.1.1.7 y 11.1.1.9
Oracle Endeca Server, versiones 7.3.0.0, 7.4.0.0, 7.5.1.1 y 7.6.1.0.0
Oracle Enterprise Data Quality, versiones 8.1, 9.0, 11.1.1.7.4 y 12.1.3.0.0
Oracle Exalogic Infrastructure, versión EECS 2.0.6.2.3
Oracle Fusion Middleware, versiones 10.1.3.5, 11.1.1.7, 11.1.1.8, 11.1.1.9, 11.1.2.1, 11.1.2.2, 11.1.2.3, 12.1.2.0 y 12.1.3.0
Oracle GlassFish Server, versiones 3.0.1 y 3.1.2
Oracle HTTP Server, versiones 10.1.3.5, 11.1.1.7, 11.1.1.9, 12.1.2.0 y 12.1.3.0
Oracle Identity Manager, versiones 11.1.1.7, 11.1.2.2 y 11.1.2.3
Oracle JDeveloper, versiones 11.1.2.4.0, 12.1.2.0.0 y 12.1.3.0.0
Oracle Mobile Security Suite, versión MSS 3.0
Oracle Outside In Technology, versiones 8.5.0, 8.5.1 y 8.5.2
Oracle Traffic Director, versiones 11.1.1.7.0 y 11.1.1.9.0
Oracle WebCenter Content, versión 10.1.3.5.1
Oracle WebCenter Sites, versiones 7.6.2, 11.1.1.6.1 y 11.1.1.8.0
Hyperion Installation Technology, versión 11.1.2.3
Enterprise Manager Base Platform, versiones 12.1.0.4 y 12.1.0.5
Enterprise Manager Ops Center, versiones 12.1.0.1 y 12.2.2
OSS Support Tools, versiones anteriores a 8.8.15.7.15
Oracle E-Business Suite, versiones 11.5.10.2, 12.0.6, 12.1.3, 12.2.3 y 12.2.4
Oracle Agile Engineering Data Management, versiones 6.1.2.2, 6.1.3.0 y 6.2.0.0
Oracle Agile PLM, versiones 9.3.3 y 9.3.4
Oracle Configurator, versiones 12.0.6, 12.1.3, 12.2.3 y 12.2.4
Oracle Transportation Management, versiones 6.1 y 6.2
PeopleSoft Enterprise FIN Expenses, versión 9.2
PeopleSoft Enterprise FSCM, versión 9.2
PeopleSoft Enterprise HCM, versión 9.2
PeopleSoft Enterprise HCM Talent Acquistion Managment, versión 9.2
PeopleSoft Enterprise PeopleTools, versiones 8.53 y 8.54
Siebel Applications, versiones IP2014 PS10 y IP2015 PS5
Oracle Fusion Applications, versiones 11.1.2 hasta 11.1.9
Oracle Utilities Work and Asset Management, versión 1.9.1.1.2
Oracle Communications Convergence, versiones 2.0 y 3.0.1
Oracle Communications Diameter Signaling Router (DSR), versiones 4.1.6 (y anteriores), 5.1.0 (y anteriores), 6.0.2 (y anteriores) y 7.1.0 (y anteriores)
Oracle Communications LSMS, versión 13.1
Oracle Communications Messaging Server, versiones 7.0.5 y 8.0
Oracle Communications Performance Intelligence Center Software, versiones 9.0.3 (y anteriores) y 10.1.5 (y anteriores)
Oracle Communications Policy Management, versiones 9.9.0 (y anteriores), 10.5.0 (y anteriores), 11.5.0 (y anteriores) y 12.1.0 (y anteriores)
Oracle Communications Tekelec HLR Router, versión 4.0.0
Oracle Communications User Data Repository, versiones 10.2.0 y anteriores
Oracle Retail Back Office, versiones 12.0, 12.0IN, 13.0, 13.1, 13.2, 13.3, 13.4, 14.0 y RM2.0
Oracle Retail Central Office, versiones 12.0, 12.0IN, 13.0, 13.1, 13.2, 13.3, 13.4, 14.0 y RM2.0
Oracle Retail Open Commerce Platform, versión 3.0
Oracle Retail Returns Management:, versiones 12.0, 12.0IN, 13.0, 13.1, 13.2, 13.3, 13.4, 14.0 y RM2.0
Oracle Java SE, versiones 6u101, 7u85 y 8u60
Oracle Java SE Embedded, versión 8u51
Oracle JavaFX, versión 2.2.85
Oracle JRockit, versión R28.3.7
Fujitsu M10-1, M10-4, M10-4S Servers, versiones anteriores a XCP 2271
Integrated Lights Out Manager (ILOM), versiones 3.0, 3.1 y 3.2
Solaris, versiones 10 y 11.2
Oracle FS1-2 Flash Storage System, versiones 6.1, 6.2 y 6.3
Oracle VM VirtualBox, versiones anteriores a 4.0.34, anteriores a 4.1.42, anteriores a 4.2.34, anteriores a 4.3.32 y anteriores a 5.0.8
MySQL Enterprise Monitor, versiones 2.3.20 (y anteriores) y 3.0.22 (y anteriores)
MySQL Server, versiones 5.5.45 (y anteriores) y 5.6.26 (y anteriores)

A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas:

Ocho nuevas vulnerabilidades corregidas en Oracle Database Server, siete de ellas para Oracle Database Serve y otra para Oracle Database Mobile/Lite Server. Solo una de ellas es explotable remotamente sin autenticación. Afectan a los componentes: Portable Clusterware, Database Scheduler, Java VM, XDB - XML Database, RDBMS y Mobile Server.
Otras 23 vulnerabilidades afectan a Oracle Fusion Middleware. 16 de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Oracle Enterprise Data Quality, Oracle Traffic Director, Oracle Exalogic Infrastructure, Oracle Business Intelligence Enterprise Edition, Oracle Endeca Server, Oracle HTTP Server, Oracle JDeveloper, Oracle Mobile Security Suite, Oracle WebCenter Sites, Oracle Access Manager, Oracle GlassFish Server, Oracle Identity Manager, Oracle WebCenter Content, Oracle WebCenter Sites, Oracle JDeveloper y Oracle Outside In Technology.
Una actualización afecta a Oracle Hyperion, que afecta al componente Hyperion Installation Technology.
Esta actualización contiene cinco nuevas actualizaciones de seguridad para Oracle Enterprise Manager Grid Control, tres de ellas explotables remotamente sin autenticación.
Dentro de Oracle Applications, 12 parches son para Oracle E-Business Suite, ocho parches son para la suite de productos Oracle Supply Chain, ocho para productos Oracle PeopleSoft y uno para Oracle Siebel CRM.
De forma similar dentro de la gama de aplicaciones Oracle Industry, una para Oracle Industry Applications, nueve para Oracle Communications Applications y cuatro para Oracle Retail Applications.
En lo referente a Oracle Java SE se incluyen 25 nuevos parches de seguridad, 24 de ellos referentes a vulnerabilidades que podrían ser explotadas por un atacante remoto sin autenticar.
Para la suite de productos Oracle Sun Systems se incluyen 15 nuevas actualizaciones, 12 de ellas afectan a Solaris.
Esta actualización también contiene un parche para Oracle Pillar Axiom y tres nuevos parches para Oracle Virtualization.
30 nuevas vulnerabilidades afectan a MySQL Server (dos de ellas podrían ser explotadas por un atacante remoto sin autenticar).

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial en:

Oracle Critical Patch Update Advisory - October 2015

http://www.oracle.com/technetwork/topics/security/cpuoct2015-2367953.html

Más información:

Oracle Critical Patch Update Advisory - October 2015

http://www.oracle.com/technetwork/topics/security/cpuoct2015-2367953.html

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero