Mostrando entradas con la etiqueta mySQL. Mostrar todas las entradas
Mostrando entradas con la etiqueta mySQL. Mostrar todas las entradas

miércoles, 18 de enero de 2017

Oracle corrige 270 vulnerabilidades en su actualización de seguridad de enero

Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica el primer boletín de seguridad del año. Contiene parches para 270 nuevas vulnerabilidades diferentes en múltiples productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL.

Los fallos se dan en varios componentes de múltiples productos y como es habitual la lista de productos afectados es extensa:
  • Oracle Database Server, versiones 11.2.0.4 y 12.1.0.2
  • Oracle Secure Backup, versiones anteriores a 12.1.0.3
  • Spatial, versiones anteriores a 1.2
  • Oracle Fusion Middleware, versiones 11.1.1.7, 11.1.1.9, 11.1.2.3, 11.1.2.4, 12.1.3.0, 12.2.1.0 y 12.2.1.1
  • Oracle GlassFish Server, versiones 2.1.1, 3.0.1 y 3.1.2
  • Oracle JDeveloper, versiones 11.1.1.7.0, 11.1.1.9.0, 11.1.2.4.0, 12.1.3.0.0, 12.2.1.0.0, 12.2.1.1.0, 12.2.1.2.0
  • Oracle Outside In Technology, versiones 8.5.2 y 8.5.3
  • Oracle Tuxedo, versión 12.1.1
  • Oracle WebLogic Server, versiones 10.3.6.0, 12.1.3.0, 12.2.1.0 y 12.2.1.1
  • Application Testing Suite, versiones 12.4.0.2, 12.5.0.2 y 12.5.0.3
  • Enterprise Manager Base Platform, versiones 12.1.0.5, 13.1 y 13.2
  • Enterprise Manager Ops Center, versiones 12.1.4, 12.2.2 y 12.3.2
  • Oracle E-Business Suite, versiones 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4, 12.2.5 y 12.2.6
  • Oracle Transportation Management, versiones 6.1 y 6.2
  • PeopleSoft Enterprise HCM ePerformance, versión 9.2
  • PeopleSoft Enterprise PeopleTools, versiones 8.54 y 8.55
  • JD Edwards EnterpriseOne Tools, versión 9.2.1.1
  • Siebel Applications, versión 16.1
  • Oracle Commerce Platform, versiones 10.0.3.5, 10.2.0.5 y 11.2.0.2
  • Oracle Fusion Applications, versiones 11.1.2 hasta 11.1.9
  • Oracle Communications Indexing and Search Service, versiones anteriores a 1.0.5.28.0
  • Oracle Communications Network Charging and Control, versiones 4.4.1.5, 5.0.0.1, 5.0.0.2, 5.0.1.0 y 5.0.2.0
  • Oracle Communications Network Intelligence, versión 7.3.0.0
  • Oracle FLEXCUBE Core Banking, versiones 5.1.0, 5.2.0 y 11.5.0
  • Oracle FLEXCUBE Direct Banking, versiones 12.0.0, 12.0.1, 12.0.2 y 12.0.3
  • Oracle FLEXCUBE Enterprise Limits and Collateral Management, versiones 12.0.0 y 12.0.2
  • Oracle FLEXCUBE Investor Servicing, versiones 12.0.1, 12.0.2, 12.0.4, 12.1.0 y 12.3.0
  • Oracle FLEXCUBE Private Banking, versiones 2.0.1, 2.2.0 y 12.0.1
  • Oracle FLEXCUBE Universal Banking, versiones 11.3.0, 11.4.0, 12.0.0, 12.0.1, 12.0.2, 12.0.3, 12.1.0 y 12.2.0
  • MICROS Lucas, versiones 2.9.1, 2.9.2, 2.9.3, 2.9.4 y 2.9.5
  • Oracle Retail Allocation, versiones 12.0, 13.0, 13.1, 13.2, 13.3, 14.0 y 14.1
  • Oracle Retail Assortment Planning, versiones 14.1 y 15.0
  • Oracle Retail Order Broker, versiones 4.1, 5.1, 5.2, 15.0 y 16.0
  • Oracle Retail Predictive Application Server, versiones 13.1, 13.2, 13.3, 13.4, 14.0, 14.1 y 15.0
  • Oracle Retail Price Management, versiones 13.1, 13.2, 14.0 y 14.1
  • Primavera P6 Enterprise Project Portfolio Management, versiones 8.2, 8.3, 8.4, 15.1, 15.2, 16.1 y 16.2
  • Oracle Java SE, versiones 6u131, 7u121 y 8u112
  • Oracle Java SE Embedded, versión 8u111
  • Oracle JRockit, versión R28.3.12
  • Oracle VM Server for Sparc, versiones 3.2 y 3.4
  • Solaris, versión 11.3
  • Oracle VM VirtualBox, versiones anteriores a 5.0.32 y anteriores a 5.1.14
  • MySQL Cluster, versiones 7.2.26 y anteriores, 7.3.14 y anteriores y 7.4.12 y anteriores
  • MySQL Enterprise Monitor, versiones 3.1.3.7856 y anteriores, 3.1.4.7895 y anteriores, 3.1.5.7958 y anteriores, 3.2.1.1049 y anteriores, 3.2.4.1102 y anteriores y 3.3.0.1098 y anteriores
  • MySQL Server, versiones 5.5.53 y anteriores, 5.6.34 y anteriores y 5.7.16 y anteriores
 A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas:

  • Cinco nuevas vulnerabilidades corregidas en Oracle Database Server (tres de ellas explotable remotamente sin autenticación), dos vulnerabilidades en Oracle Secure Backup (ambas explotables remotamente sin autenticación) y una nueva vulnerabilidad corregida en Oracle Big Data Graph.
       
  • Otras 18 vulnerabilidades afectan a Oracle Fusion Middleware. 16 de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Oracle Tuxedo, Oracle WebLogic Server, Oracle GlassFish Server, Oracle Fusion Middleware, Oracle Outside In Technology y Oracle JDeveloper.
         
  • Esta actualización contiene ocho nuevas actualizaciones de seguridad para Oracle Enterprise Manager Grid Control, seis de ellas explotables remotamente sin autenticación.
         
  • Dentro de Oracle Applications, 121 parches son para Oracle E-Business Suite, uno es para la suite de productos Oracle Supply Chain, siete para productos Oracle PeopleSoft, uno para productos Oracle JD Edwards, tres para Oracle Siebel CRM y uno para Oracle Commerce.
         
  • Se incluyen también cuatro nuevos parches para Oracle Communications Applications, dos de ellos tratan vulnerabilidades explotables remotamente sin autenticación. También soluciona 37 nuevas vulnerabilidades en Oracle Financial Services Applications (14 explotables remotamente).
         
  • Esta actualización contiene ocho nuevas actualizaciones de seguridad para Oracle Retail Applications, dos de ellas explotables remotamente sin autenticación.
          
  • También se incluyen cuatro nuevos parches de seguridad para software Oracle Primavera Products Suite, dos de ellas podrían explotarse de forma remota sin autenticación.
        
  • En lo referente a Oracle Java SE se incluyen 17 nuevos parches de seguridad, 16 de ellos referentes a vulnerabilidades que podrían ser explotadas por un atacante remoto sin autenticar.
        
  • Para la suite de productos Oracle Sun Systems se incluyen cuatro nuevas actualizaciones, tres de ellas afectan directamente a Solaris.
         
  • 27 nuevas vulnerabilidades afectan a MySQL Server (cinco de ellas podrían ser explotadas por un atacante remoto sin autenticar).
        
  • Esta actualización también contiene cuatro parches para Oracle Virtualización.

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial en:
Oracle Critical Patch Update Advisory – January 2017
http://www.oracle.com/technetwork/security-advisory/cpujan2017-2881727.html

Más información:

Oracle Critical Patch Update Advisory - January 2017
http://www.oracle.com/technetwork/security-advisory/cpujan2017-2881727.html



Antonio Ropero
antonior@hispasec.com
Twitter: @aropero



0 comentarios
Etiquetas: , , ,

miércoles, 19 de octubre de 2016

Oracle corrige 253 vulnerabilidades en su actualización de seguridad de octubre

Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica su boletín de seguridad de octubre. Contiene parches para 253 nuevas vulnerabilidades diferentes en múltiples productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL.

Los fallos se dan en varios componentes de múltiples productos y como es habitual la lista de productos afectados es extensa:
  • Application Express, versiones anteriores a la 5.0.4.0.7
  • Oracle Database Server, versiones 11.2.0.4 y 12.1.0.2
  • Oracle Secure Backup, versiones anteriores a la 10.4.0.4.0 y anteriores a la 12.1.0.2.0
  • Big Data Graph, versiones anteriores a la 1.2
  • NetBeans, versión 8.1
  • Oracle BI Publisher, versiones 11.1.1.7.0, 11.1.1.9.0 y 12.2.1.0.0
  • Oracle Big Data Discovery, versiones 1.1.1, 1.1.3 y 1.2.0
  • Oracle Business Intelligence Enterprise Edition, versiones 11.1.1.7.0, 11.1.1.9.0, 12.1.1.0.0 y 12.2.1.1.0
  • Oracle Data Integrator, versiones 11.1.1.7.0, 11.1.1.9.0, 12.1.2.0.0, 12.1.3.0.0, 12.2.1.0.0 y 12.2.1.1.0
  • Oracle Discoverer, versiones 11.1.1.7.0
  • Oracle Fusion Middleware, versiones 11.1.1.7, 11.1.1.9, 11.1.2.3, 11.1.2.4, 12.1.3.0, 12.2.1.0 y 12.2.1.1
  • Oracle GlassFish Server, versiones 2.1.1, 3.0.1 y 3.1.2
  • Oracle Identity Manager
  • Oracle iPlanet Web Proxy Server, version 4.0
  • Oracle iPlanet Web Server, version 7.0
  • Oracle Outside In Technology, versiones 8.4.0, 8.5.1, 8.5.2 y 8.5.3
  • Oracle Platform Security for Java, versiones 12.1.3.0.0, 12.2.1.0.0 y 12.2.1.1.0
  • Oracle Web Services, versiones 11.1.1.7.0, 11.1.1.9.0, 12.1.3.0.0 y 12.2.1.0.0
  • Oracle WebCenter Sites, versiones 12.2.1.0.0, 12.2.1.1.0 y 12.2.1.2.0
  • Oracle WebLogic Server, versiones 10.3.6.0, 12.1.3.0, 12.2.1.0 y 12.2.1.1
  • Enterprise Manager, versiones 12.1.4, 12.2.2 y 12.3.2
  • Enterprise Manager Base Platform, version 12.1.0.5
  • Oracle Application Testing Suite, versiones 12.5.0.1, 12.5.0.2 y 12.5.0.3
  • Oracle E-Business Suite, versiones 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4, 12.2.5 y 12.2.6
  • Oracle Advanced Supply Chain Planning, versiones 12.2.3, 12.2.4 y 12.2.5
  • Oracle Agile Engineering Data Management, versiones 6.1.3.0 y 6.2.0.0
  • Oracle Agile PLM, versiones 9.3.4 y 9.3.5
  • Oracle Agile Product Lifecycle Management for Process, versiones 6.1.0.4, 6.1.1.6 y 6.2.0.0
  • Oracle Transportation Management, versiones 6.1, 6.2, 6.3.0, 6.3.1, 6.3.2, 6.3.3, 6.3.4, 6.3.5, 6.3.6 y 6.3.7
  • PeopleSoft Enterprise HCM, versión 9.2
  • PeopleSoft Enterprise PeopleTools, versiones 8.54 y 8.55
  • PeopleSoft Enterprise SCM Services Procurement, versiones 9.1 y 9.2
  • JD Edwards EnterpriseOne Tools, versión 9.1
  • JD Edwards World Security, versión A9.4
  • Siebel Applications, versiones 7.1 y 16.1
  • Oracle Commerce Guided Search, versiones 6.2.2, 6.3.0, 6.4.1.2, 6.5.0, 6.5.1 y 6.5.2
  • Oracle Commerce Guided Search / Oracle Commerce Experience Manager, versiones 3.1.1, 3.1.2, 6.2.2, 6.3.0, 6.4.1.2, 6.5.0, 6.5.1, 6.5.2, 6.5.3, 11.0, 11.1 y 11.2
  • Oracle Commerce Platform, versiones 10.0.3.5, 10.2.0.5 y 11.2.0.1
  • Oracle Commerce Service Center, versiones 10.0.3.5 y 10.2.0.5
  • Oracle Fusion Applications, versiones 11.1.2 hasta 11.1.9
  • Oracle Communications Policy Management, versiones 9.7.3, 9.9.1, 10.4.1, 12.1.1 y anteriores
  • Oracle Enterprise Communications Broker, versiones Pcz2.0.0m4p5 y anteriores
  • Oracle Enterprise Session Border Controller, versiones Ecz7.3m2p2 y anteriores
  • Oracle Banking Digital Experience, versión 15.1
  • Oracle Financial Services Analytical Applications Infrastructure, versiones 7.3.0, 7.3.1, 7.3.2, 7.3.3, 7.3.4, 7.3.5, 8.0.0, 8.0.1, 8.0.2 y 8.0.3
  • Oracle Financial Services Lending and Leasing, versiones 14.1.0 y 14.2.0
  • Oracle FLEXCUBE Core Banking, versiones 11.5.0.0.0 y 11.6.0.0.0
  • Oracle FLEXCUBE Enterprise Limits and Collateral Management, versiones 12.0.0 y 12.1.0
  • Oracle FLEXCUBE Investor Servicing, version 12.0.1
  • Oracle FLEXCUBE Private Banking, versiones 2.0.0, 2.0.1, 2.2.0, 12.0.0, 12.0.1, 12.0.2, 12.0.3 y 12.1.0
  • Oracle FLEXCUBE Universal Banking, versiones 11.3.0, 11.4.0, 12.0.1, 12.0.2, 12.0.3, 12.1.0, 12.2.0, 12.87.1 y 12.87.2
  • Oracle Life Sciences Data Hub, versiones 2.x
  • Oracle Hospitality OPERA 5 Property Services, versiones 5.4.0.0, 5.4.1.0, 5.4.2.0, 5.4.3.0, 5.5.0.0 y 5.5.1.0
  • Oracle Insurance IStream, versión 4.3.2
  • MICROS XBR, versiones 7.0.2 y 7.0.4
  • Oracle Retail Back Office, versiones 13.0, 13.1, 13.2, 13.3, 13.4, 14.0 y 14.1
  • Oracle Retail Central Office, versiones 13.0, 13.1, 13.2, 13.3, 13.4, 14.0 y 14.1
  • Oracle Retail Clearance Optimization Engine, versiones 13.2, 13.3, 13.4 y 14.0
  • Oracle Retail Customer Insights, versión 15.0
  • Oracle Retail Merchandising Insights, versión 15.0
  • Oracle Retail Returns Management, versiones 13.0, 13.1, 13.2, 13.3, 13.4, 14.0 y 14.1
  • Oracle Retail Xstore Payment, versión 1.x
  • Oracle Retail Xstore Point of Service, versiones 5.0, 5.5, 6.0, 6.5, 7.0 y 7.1
  • Primavera P6 Enterprise Project Portfolio Management, versiones 8.4, 15.x y 16.x
  • Primavera P6 Professional Project Management, versiones 8.3, 8.4, 15.x y 16.x
  • Oracle Java SE, versiones 6u121, 7u111 y 8u102
  • Oracle Java SE Embedded, versión 8u101
  • Solaris, versiones 10 y 11.3
  • Solaris Cluster, versiones 3.3 y 4.3
  • Sun ZFS Storage Appliance Kit (AK), versión AK 2013
  • Oracle VM VirtualBox, versiones anteriores a la 5.0.28, anteriores a la 5.1.8
  • Secure Global Desktop, versiones 4.7 y 5.2
  • Sun Ray Operating Software, versiones anteriores a la 11.1.7
  • Virtual Desktop Infrastructure, versiones anteriores a la 3.5.3
  • MySQL Connector, versiones 2.0.4 y anteriores y 2.1.3 y anteriores
  • MySQL Server, versiones 5.5.52 y anteriores, 5.6.33 y anteriores y 5.7.15 y anteriores


A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas: 
  • Nueve nuevas vulnerabilidades corregidas en Oracle Database Server (una de ellas explotable remotamente sin autenticación), 2 vulnerabilidades en Oracle Secure Backup (ambas explotables remotamente sin autenticación) y una nueva vulnerabilidad corregida en Oracle Big Data Graph. Afectan a los componentes: OJVM, Kernel PDB, Application Express, RDBMS Programmable Interface, RDBMS Security y RDBMS Security and SQL*Plus.
          
  • Otras 29 vulnerabilidades afectan a Oracle Fusion Middleware. 19 de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: BI Publisher (formerly XML Publisher), NetBeans, Oracle Big Data Discovery, Oracle Business Intelligence Enterprise Edition, Oracle Data Integrator, Oracle Discoverer, Oracle GlassFish Server, Oracle Identity Manager, Oracle iPlanet Web Proxy Server, Oracle iPlanet Web Server, Oracle Outside In Technology, Oracle Platform Security for Java, Oracle Web Services y Oracle WebCenter Sites.     
       
  • Esta actualización contiene cinco nuevas actualizaciones de seguridad para Oracle Enterprise Manager Grid Control, cuatro de ellas explotables remotamente sin autenticación. Afectan a Enterprise Manager, Oracle Application Testing Suite y Enterprise Manager Base Platform.   
         
  • Dentro de Oracle Applications, 21 parches son para Oracle E-Business Suite, 19 parches son para la suite de productos Oracle Supply Chain, 11 para productos Oracle PeopleSoft, dos para productos Oracle JD Edwards, tres para Oracle Siebel CRM y siete para Oracle Commerce.
             
  • Se incluyen también 36 nuevos parches para Oracle Communications Applications, 31 de ellos tratan vulnerabilidades explotables remotamente sin autenticación. De forma similar tan solo una nueva corrección para Oracle Health Sciences Applications (aunque podría ser explotable remotamente sin autenticación). También incluye un nuevo parche para Oracle Insurance Applications y tres para Oracle Hospitality Applications.
             
  • Esta actualización contiene 10 nuevas actualizaciones de seguridad para Oracle Retail Applications, 10 de ellas explotables remotamente sin autenticación.
         
  • También se incluyen dos nuevos parches de seguridad para software Oracle Primavera Products Suite, una de ellas podría explotarse de forma remota sin autenticación.
         
  • En lo referente a Oracle Java SE se incluyen 7 nuevos parches de seguridad, todos referentes a vulnerabilidades que podrían ser explotadas por un atacante remoto sin autenticar.
         
  • Para la suite de productos Oracle Sun Systems se incluyen 16 nuevas actualizaciones, 10 de ellas afectan directamente a Solaris.
             
  • 31 nuevas vulnerabilidades afectan a MySQL Server (dos de ellas podrían ser explotada por un atacante remoto sin autenticar).
         
  • Esta actualización también contiene 13 parches para Oracle Virtualización.


Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial en:
Oracle Critical Patch Update Advisory – October 2016
http://www.oracle.com/technetwork/security-advisory/cpuoct2016-2881722.html

Más información:

Oracle Critical Patch Update Advisory - October 2016
http://www.oracle.com/technetwork/security-advisory/cpuoct2016-2881722.html



Antonio Ropero
antonior@hispasec.com

Twitter: @aropero
0 comentarios
Etiquetas: , , ,

miércoles, 20 de julio de 2016

Oracle corrige 276 vulnerabilidades en su actualización de seguridad de julio

Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica su boletín de seguridad de julio. Contiene parches para 276 nuevas vulnerabilidades diferentes en múltiples productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL.

La gran cantidad de problemas corregidos, que en esta ocasión se eleva a las 276 vulnerabilidades, convierte a este boletín de seguridad como el más numeroso de todos los publicados por Oracle hasta la fecha. Los fallos se dan en varios componentes de múltiples productos: 
  • Application Express, versiones anteriores a 5.0.4
  • Oracle Database Server, versiones 11.2.0.4, 12.1.0.1 y 12.1.0.2
  • Oracle Access Manager, versiones 10.1.4.x y 11.1.1.7
  • Oracle BI Publisher, versiones 11.1.1.7.0, 11.1.1.9.0 y 12.2.1.0.0
  • Oracle Business Intelligence Enterprise Edition, versiones 11.1.1.7.0, 11.1.1.9.0 y 11.2.1.0.0
  • Oracle Directory Server Enterprise Edition, versiones 7.0 y 11.1.1.7.0
  • Oracle Exalogic Infrastructure, versiones 1.x, 2.x
  • Oracle Fusion Middleware, versiones 11.1.1.7, 11.1.1.8, 11.1.1.9, 11.1.2.2, 11.1.2.3, 12.1.3.0 y 12.2.1.0
  • Oracle GlassFish Server, versiones 2.1.1, 3.0.1 y 3.1.2
  • Oracle HTTP Server, versiones 11.1.1.9 y 12.1.3.0
  • Oracle JDeveloper, versiones 11.1.1.7.0, 11.1.1.9.0, 11.1.2.4.0, 12.1.3.0.0 y 12.2.1.0.0
  • Oracle Portal, versión 11.1.1.6
  • Oracle TopLink, versiones 12.1.3.0, 12.2.1.0 y 12.2.1.1
  • Oracle WebCenter Sites, versiones 11.1.1.8 y 12.2.1.0
  • Oracle WebLogic Server, versiones 10.3.6.0, 12.1.3.0 y 12.2.1.0
  • Outside In Technology, versiones 8.5.0, 8.5.1 y 8.5.2
  • Hyperion Financial Reporting, versión 11.1.2.4
  • Enterprise Manager Base Platform, versiones 12.1.0.5 y 13.1.0.0
  • Enterprise Manager for Fusion Middleware, versiones 11.1.1.7 y 11.1.1.9
  • Enterprise Manager Ops Center, versiones 12.1.4, 12.2.2 y 12.3.2
  • Oracle E-Business Suite, versiones 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4 y 12.2.5
  • Oracle Agile Engineering Data Management, versiones 6.1.3.0 y 6.2.0.0
  • Oracle Agile PLM, versiones 9.3.4 y 9.3.5
  • Oracle Demand Planning, versiones 12.1 y 12.2
  • Oracle Transportation Management, versiones 6.3.0, 6.3.1, 6.3.2, 6.3.3, 6.3.4, 6.3.5, 6.3.6, 6.3.7, 6.4.0 y 6.4.1
  • PeopleSoft Enterprise FSCM, versiones 9.1 y 9.2
  • PeopleSoft Enterprise PeopleTools, versiones 8.53, 8.54 y 8.55
  • JD Edwards EnterpriseOne Tools, versión 9.2.0.5
  • Oracle Knowledge, versión 8.5.x
  • Siebel Applications, versiones 8.1.1, 8.2.2, IP2014, IP2015 y IP2016
  • Oracle Fusion Applications, versiones 11.1.2 hasta 11.1.10
  • Oracle Communications ASAP, versiones 7.0, 7.2 y 7.3
  • Oracle Communications Core Session Manager, versiones 7.2.5 y 7.3.5
  • Oracle Communications EAGLE Application Processor, versión 16.0
  • Oracle Communications Messaging Server, versiones 6.3, 7.0, 8.0, anteriores a 7.0.5.37.0 y 8.0.1.1.0
  • Oracle Communications Network Charging and Control, versiones 4.4.1.5.0, 5.0.0.1.0, 5.0.0.2.0, 5.0.1.0.0 y 5.0.2.0.0
  • Oracle Communications Operations Monitor, versiones anteriores a 3.3.92.0.0
  • Oracle Communications Policy Management, versiones anteriores a 9.9.2
  • Oracle Communications Session Border Controller, versiones 7.2.0 y 7.3.0
  • Oracle Communications Unified Session Manager, versiones 7.2.5 y 7.3.5
  • Oracle Enterprise Communications Broker, versiones anteriores a PCz 2.0.0m4p1
  • Oracle Banking Platform, versiones 2.3.0, 2.4.0, 2.4.1 y 2.5.0
  • Oracle Financial Services Lending and Leasing, versiones 14.1 y 14.2
  • Oracle FLEXCUBE Direct Banking, versiones 12.0.1, 12.0.2 y 12.0.3
  • Oracle Health Sciences Clinical Development Center, versiones 3.1.1.x y 3.1.2.x
  • Oracle Health Sciences Information Manager, versiones 1.2.8.3, 2.0.2.3 y 3.0.1.0
  • Oracle Healthcare Analytics Data Integration, versión 3.1.0.0.0
  • Oracle Healthcare Master Person Index, versiones 2.0.12, 3.0.0 y 4.0.1
  • Oracle Documaker, versiones anteriores a 12.5
  • Oracle Insurance Calculation Engine, versiones 9.7.1, 10.1.2 y 10.2.2
  • Oracle Insurance Policy Administration J2EE, versiones 9.6.1, 9.7.1, 10.0.1, 10.1.2, 10.2.0 y 10.2.2
  • Oracle Insurance Rules Palette, versiones 9.6.1, 9.7.1, 10.0.1, 10.1.2, 10.2.0 y 10.2.2
  • MICROS Retail XBRi Loss Prevention, versiones 10.0.1, 10.5.0, 10.6.0, 10.7.0, 10.8.0 y 10.8.1
  • Oracle Retail Central, Back Office, Returns Management, versiones 13.1, 13.2, 13.3, 13.4, 14.0, 14.1, 12.0 y 13.0
  • Oracle Retail Integration Bus, versiones 13.0, 13.1, 13.2, 14.0, 14.1 y 15.0
  • Oracle Retail Order Broker, versiones 4.1, 5.1, 5.2 y 15.0
  • Oracle Retail Service Backbone, versiones 13.0, 13.1, 13.2, 14.0, 14.1 y 15.0
  • Oracle Retail Store Inventory Management, versiones 12.0, 13.0, 13.1, 13.2, 14.0 y 14.1
  • Oracle Utilities Framework, versiones 2.2.0.0.0, 4.1.0.1.0, 4.1.0.2.0, 4.2.0.1.0, 4.2.0.2.0, 4.2.0.3.0, 4.3.0.1.0 y 4.3.0.2.0
  • Oracle Utilities Network Management System, versiones 1.10.0.6.27, 1.11.0.4.41, 1.11.0.5.4, 1.12.0.1.16, 1.12.0.2.12 y 1.12.0.3.5
  • Oracle Utilities Work and Asset Management, versión 1.9.1.2.8
  • Oracle In-Memory Policy Analytics, versión 12.0.1
  • Oracle Policy Automation, versiones 10.3.0, 10.3.1, 10.4.0, 10.4.1, 10.4.2, 10.4.3, 10.4.4, 10.4.5, 10.4.6, 12.1.0 y 12.1.1
  • Oracle Policy Automation Connector for Siebel, versiones 10.3.0, 10.4.0, 10.4.1, 10.4.2, 10.4.3, 10.4.4, 10.4.5 y 10.4.6
  • Oracle Policy Automation for Mobile Devices, versión 12.1.1
  • Primavera Contract Management, versión 14.2
  • Primavera P6 Enterprise Project Portfolio Management, versiones 8.2, 8.3, 8.4, 15.1, 15.2 y 16.1
  • Oracle Java SE, versiones 6u115, 7u101 y 8u92
  • Oracle Java SE Embedded, versión 8u91
  • Oracle JRockit, versión R28.3.10
  • 40G 10G 72/64 Ethernet Switch, versión 2.0.0
  • Fujitsu M10-1, M10-4, M10-4S Servers, versiones anteriores a XCP 2320
  • ILOM, versiones 3.0, 3.1 y 3.2
  • Oracle Switch ES1-24, versión 1.3
  • Solaris, versiones 10 y 11.3
  • Solaris Cluster, versiones 3.3 y 4.3
  • SPARC Enterprise M3000, M4000, M5000, M8000, M9000 Servers y versiones anteriores a XCP 1121
  • Sun Blade 6000 Ethernet Switched NEM 24P 10GE, versión 1.2
  • Sun Data Center InfiniBand Switch 36, versiones anteriores a 2.2.2
  • Sun Network 10GE Switch 72p, versión 1.2
  • Sun Network QDR InfiniBand Gateway Switch, versiones anteriores a 2.2.2
  • Oracle Secure Global Desktop, versiones 4.63, 4.71 y 5.2
  • Oracle VM VirtualBox, versiones anteriores a 5.0.26
  • MySQL Server, versiones 5.5.49 y anteriores, 5.6.30 y anteriores, 5.7.12 y anteriores

A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas:
  • Nueve nuevas vulnerabilidades corregidas en Oracle Database Server, cinco de ellas explotables remotamente sin autenticación. Afectan a los componentes: OJVM, JDBC, Portable Clusterware, Data Pump Import, Application Express, RDBMS, DB Sharding y Database Vault.
        
  • Otras 40 vulnerabilidades afectan a Oracle Fusion Middleware. 35 de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: BI Publisher (formerly XML Publisher), Oracle Access Manager, Oracle Business Intelligence Enterprise Edition, Oracle Directory Server Enterprise Edition, Oracle Exalogic Infrastructure, Oracle GlassFish Server, Oracle HTTP Server, Oracle JDeveloper, Oracle Portal, Oracle TopLink, Oracle WebCenter Sites y Outside In Technology.
          
  • Esta actualización contiene 10 nuevas actualizaciones de seguridad para Oracle Enterprise Manager Grid Control, siete de ellas explotables remotamente sin autenticación. Afectan a Enterprise Manager Base Platform, Enterprise Manager for Fusion Middleware y Enterprise Manager Ops Center.
          
  • Dentro de Oracle Applications, 23 parches son para Oracle E-Business Suite, 25 parches son para la suite de productos Oracle Supply Chain, 7 para productos Oracle PeopleSoft, uno para productos Oracle JD Edwards y 16 para Oracle Siebel CRM.
          
  • Se incluyen también 16 nuevos parches para Oracle Communications Applications, 10 de ellos tratan vulnerabilidades explotables remotamente sin autenticación. De forma similar 5 nuevas correcciones para Oracle Health Sciences Applications, aunque solo una de ellas podría ser explotable remotamente sin autenticación. También incluyen ocho parches para Oracle Insurance Applications, aunque ninguna de las vulnerabilidades es explotable remotamente sin autenticación.
         
  • Esta actualización contiene 16 nuevas actualizaciones de seguridad para Oracle Retail Applications, seis de ellas explotables remotamente sin autenticación. Otras tres actualizaciones para Oracle Utilities Applications, cuatro para Oracle Policy Automation y 15 para la suite de productos Oracle Primavera.
          
  • También se incluyen cuatro nuevos parches de seguridad para software Oracle Financial Services. Tres de las vulnerabilidades podrían explotarse de forma remota sin autenticación.
          
  • En lo referente a Oracle Java SE se incluyen 13 nuevos parches de seguridad, nueve referentes a vulnerabilidades que podrían ser explotadas por un atacante remoto sin autenticar.
          
  • Para la suite de productos Oracle Sun Systems se incluyen 34 nuevas actualizaciones, ocho de ellas afectan directamente a Solaris.
         
  • 22 nuevas vulnerabilidades afectan a MySQL Server (tres de ellas podrían ser explotada por un atacante remoto sin autenticar).
          
  • Esta actualización también contiene cuatro parches para Oracle Linux y Virtualización y otro para Oracle Hyperion.


Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial en:
Oracle Critical Patch Update Advisory – July 2016
http://www.oracle.com/technetwork/security-advisory/cpujul2016-2881720.html

Más información:

Oracle Critical Patch Update Advisory - July 2016
http://www.oracle.com/technetwork/security-advisory/cpujul2016-2881720.html



Antonio Ropero
antonior@hispasec.com

Twitter: @aropero
0 comentarios
Etiquetas: , , , ,

miércoles, 20 de abril de 2016

Oracle corrige 136 vulnerabilidades en su actualización de seguridad de abril

Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica su boletín de seguridad de abril. Contiene parches para 136 nuevas vulnerabilidades diferentes en múltiples productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL.

Los fallos se dan en varios componentes de los productos:
  • Oracle BI Publisher, versión 12.2.1.0.0
  • Oracle Database Server, versiones 11.2.0.4, 12.1.0.1 y 12.1.0.2
  • Oracle API Gateway, versiones 11.1.2.3.0 y 11.1.2.4.0
  • Oracle Business Intelligence Enterprise Edition, versiones 11.1.1.7.0, 11.1.1.9.0 y 12.2.1.0.0
  • Oracle Exalogic Infrastructure, versiones 1.0 y 2.0
  • Oracle GlassFish Server, versión 2.1.1
  • Oracle HTTP Server, versiones 12.1.2.0 y 12.1.3.0
  • Oracle iPlanet Web Proxy Server, versión 4.0
  • Oracle iPlanet Web Server, versión 7.0
  • Oracle OpenSSO, versiones 3.0-0.7
  • Oracle Outside In Technology, versiones 8.5.0, 8.5.1 y 8.5.2
  • Oracle Traffic Director, versiones 11.1.1.7.0 y 11.1.1.9.0
  • Oracle Tuxedo, versión 12.1.1.0
  • Oracle WebCenter Sites, versiones 11.1.1.8.0 y 12.2.1
  • Oracle WebLogic Server, versiones 10.3.6, 12.1.2, 12.1.3 y 12.2.1
  • Oracle Application Testing Suite, versiones 12.4.0.2 y 12.5.0.2
  • OSS Support Tools Oracle Explorer, versión 8.11.16.3.8
  • Oracle E-Business Suite, versiones 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4 y 12.2.5
  • Oracle Agile Engineering Data Management, versiones 6.1.3.0 y 6.2.0.0
  • Oracle Agile PLM, versiones 9.3.1.1, 9.3.1.2, 9.3.2 y 9.3.3
  • Oracle Complex Maintenance, Repair, and Overhaul, versiones 12.1.1, 12.1.2 y 12.1.3
  • Oracle Configurator, versiones 12.1 y 12.2
  • Oracle Transportation Management, versiones 6.1 y 6.2
  • PeopleSoft Enterprise HCM, versiones 9.1 y 9.2
  • PeopleSoft Enterprise HCM ePerformance, versión 9.2
  • PeopleSoft Enterprise PeopleTools, versiones 8, 8.53, 8.54 y 8.55
  • PeopleSoft Enterprise SCM, versiones 9.1 y 9.2
  • JD Edwards EnterpriseOne Tools, versiones 9.1 y 9.2
  • Siebel Applications, versiones 8.1.1 y 8.2.2
  • Oracle Communications User Data Repository, versión 10.0.1
  • Oracle Retail MICROS ARS POS, versión 1.5
  • Oracle Retail MICROS C2, versión 9.89.0.0
  • Oracle Retail Xstore Point of Service, versiones 5.0, 5.5, 6.0, 6.5, 7.0 y 7.1
  • Oracle Life Sciences Data Hub, versión 2.1
  • Oracle FLEXCUBE Direct Banking, versiones 12.0.2 y 12.0.3
  • Oracle Java SE, versiones 6u113, 7u99 y 8u77
  • Oracle Java SE Embedded, versión 8u77
  • Oracle JRockit, versión R28.3.9
  • Fujitsu M10-1, M10-4, M10-4S Servers, versiones anteriores a la XCP 2290
  • Oracle Ethernet Switch ES2-72, Oracle Ethernet Switch ES2-64, versiones anteriores a la 2.0.0.6
  • Solaris, versiones 10 y 11.3
  • Solaris Cluster, versión 4.2
  • SPARC Enterprise M3000, M4000, M5000, M8000, M9000 Servers, versiones anteriores a la XCP 1121
  • Sun Storage Common Array Manager, versión 6.9.0
  • Oracle VM VirtualBox, versiones anteriores a la 4.3.36 y anteriores a la 5.0.18
  • Sun Ray Software, versión 11.1
  • MySQL Enterprise Monitor, versiones 3.0.25 y anteriores, 3.1.2 y anteriores
  • MySQL Server, versiones 5.5.48 y anteriores, 5.6.29 y anteriores y 5.7.11 y anteriores
  • Oracle Berkeley DB, versiones 11.2.5.0.32, 11.2.5.1.29, 11.2.5.2.42, 11.2.5.3.28, 12.1.6.0.35 y 12.1.6.1.26 

A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas: 
  • Cinco nuevas vulnerabilidades corregidas en Oracle Database Server, dos de ellas explotables remotamente sin autenticación. Afectan a los componentes: Java VM, Oracle OLAP y RDBMS Security.
       
  • Otras 22 vulnerabilidades afectan a Oracle Fusion Middleware. 21 de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Oracle API Gateway, Oracle BI Publisher, Oracle Business Intelligence Enterprise Edition, Oracle Exalogic Infrastructure, Oracle GlassFish Server, Oracle HTTP Server, Oracle iPlanet Web Proxy Server, Oracle iPlanet Web Server, Oracle OpenSSO, Oracle Outside In Technology, Oracle Traffic Director, Oracle Tuxedo y Oracle WebCenter Sites.
        
  • Esta actualización contiene dos nuevas actualizaciones de seguridad para Oracle Enterprise Manager Grid Control, solo una de ellas explotables remotamente sin autenticación. Afectan a Oracle Application Testing Suite y OSS Support Tools Oracle Explorer.    
  • Dentro de Oracle Applications, siete parches son para Oracle E-Business Suite, seis parches son para la suite de productos Oracle Supply Chain, 15 para productos Oracle PeopleSoft, uno para productos Oracle JD Edwards y dos para Oracle Siebel CRM.
             
  • De forma similar dentro de la gama de aplicaciones Oracle Industry, uno para aplicaciones Oracle Communications, tres para aplicaciones Oracle Retail y uno para aplicaciones Oracle Health Sciences.
        
  • También se incluyen cuatro nuevos parches de seguridad para software Oracle Financial Services. Tres de las vulnerabilidades podrían explotarse de forma remota sin autenticación.
         
  • En lo referente a Oracle Java SE se incluyen nueve nuevos parches de seguridad, todos ellos referentes a vulnerabilidades que podrían ser explotadas por un atacante remoto sin autenticar.
         
  • Para la suite de productos Oracle Sun Systems se incluyen 18 nuevas actualizaciones, nueve de ellas afectan a Solaris.
             
  • 31 nuevas vulnerabilidades afectan a MySQL Server (cuatro de ellas podrían ser explotada por un atacante remoto sin autenticar).
         
  • Esta actualización también contiene tres parches para Oracle Linux y Virtualización y cinco para Oracle Berkeley DB.


Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial en:
Oracle Critical Patch Update Advisory - April 2016
http://www.oracle.com/technetwork/security-advisory/cpuapr2016v3-2985753.html

Más información:

Oracle Critical Patch Update Advisory - April 2016
http://www.oracle.com/technetwork/security-advisory/cpuapr2016v3-2985753.html



Antonio Ropero
antonior@hispasec.com

Twitter: @aropero
0 comentarios
Etiquetas: , , , , ,

jueves, 21 de enero de 2016

Oracle corrige 248 vulnerabilidades en su actualización de seguridad de enero

Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica su boletín de seguridad de enero. Contiene parches para 248 vulnerabilidades diferentes en múltiples productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL.

Los fallos se dan en varios componentes de los productos:
  • Oracle Database Server, versiones 11.2.0.4, 12.1.0.1 y 12.1.0.2
  • Oracle GoldenGate, versiones 11.2 y 12.1.2
  • Oracle BI Publisher, versiones 11.1.1.7.0, 11.1.1.9.0 y 12.2.1.0.0
  • Oracle Business Intelligence Enterprise Edition, versiones 11.1.1.7.0 y 11.1.1.9.0
  • Oracle Endeca Server, versiones 7.3.0.0, 7.4.0.0, 7.5.0.0 y 7.6.0.0
  • Oracle Fusion Middleware, versiones 10.1.3.5, 11.1.1.7, 11.1.1.8, 11.1.1.9, 11.1.2.2, 11.1.2.3, 12.1.2.0, 12.1.3.0 y 12.2.1
  • Oracle GlassFish Server, versión 3.1.2
  • Oracle Identity Federation, versiones 11.1.1.7 y 11.1.2.2
  • Oracle Outside In Technology, versiones 8.5.0, 8.5.1 y 8.5.2
  • Oracle Tuxedo, versión 12.1.1.0
  • Oracle Web Cache, versiones 11.1.1.7.0 y 11.1.1.9.0
  • Oracle WebCenter Sites, versiones 7.6.2 y 11.1.1.8.0
  • Oracle WebLogic Portal, versión 10.3.6
  • Oracle WebLogic Server, versiones 10.3.6, 12.1.2, 12.1.3 y 12.2.1
  • Enterprise Manager Base Platform, versiones 11.1.0.1, 11.2.0.4, 12.1.0.4 y 12.1.0.5
  • Enterprise Manager Ops Center, versiones prior to 12.1.4, 12.2.0, 12.2.1 y 12.3.0
  • Oracle Application Testing Suite, versiones 12.4.0.2 y 12.5.0.2
  • Application Mgmt Pack for E-Business Suite, versión 12.1, 12.2
  • Oracle E-Business Suite, versiones 11.5.10.2, 12.1, 12.1.1, 12.1.2, 12.1.3, 12.2, 12.2.3, 12.2.4 y 12.2.5
  • Oracle Agile Engineering Data Management, versiones 6.1.2.2, 6.1.3.0 y 6.2.0.0
  • Oracle Agile PLM, versiones 9.3.1.1, 9.3.1.2, 9.3.2 y 9.3.3
  • Oracle Configurator, versiones 11.5.10.2, 12.1 y 12.2
  • PeopleSoft Enterprise HCM Global Payroll Switzerland, versiones 9.1 y 9.2
  • PeopleSoft Enterprise PeopleTools, versiones 8.53, 8.54 y 8.55
  • PeopleSoft Enterprise SCM eProcurement, versiones 9.1 y 9.2
  • PeopleSoft Enterprise SCM Order Management, versiones 9.1 y 9.2
  • PeopleSoft Enterprise SCM Purchasing, versiones 9.1 y 9.2
  • JD Edwards EnterpriseOne Tools, versiones 9.1 y 9.2
  • Oracle iLearning, versiones 6.0 y 6.1
  • Oracle Fusion Applications, versiones 11.1.2 a 11.1.10
  • Oracle Communications Converged Application Server - Service Controller, versión 6.1
  • Oracle Communications EAGLE LNP Application Processor, versión 10.0
  • Oracle Communications Online Mediation Controller, versión 6.1
  • Oracle Communications Service Broker, versiones 6.0 y 6.1
  • Oracle Communications Service Broker Engineered System Edition, versión 6.0
  • MICROS CWDirect, versiones 12.5, 13.0, 14.0, 15.0, 16.0, 17.0 y 18.0
  • Oracle Retail Open Commerce Platform Cloud Service, versiones 3.5, 4.5, 4.7 y 5.0
  • Oracle Retail Order Broker Cloud Service, versiones 4.0 y 4.1.
  • Oracle Retail Order Management System Cloud Service, versiones 3.5, 4.5, 4.7, 5.0 y 15.0
  • Oracle Retail Point-of-Service, versiones 13.4, 14.0 y 14.1
  • Oracle Java SE, versiones 6u105, 7u91 y 8u66
  • Oracle Java SE Embedded, versión 8u65
  • Oracle JRockit, versión R28.3.8
  • Oracle Switch ES1-24, versiones anteriores a 1.3.1.13
  • Solaris, versiones 10 y 11
  • Solaris Cluster, versiones 3.3, 4 y 4.2
  • Sun Blade 6000 Ethernet Switched NEM 24P 10GE, versiones anteriores a 1.2.2.13
  • Sun Network 10GE Switch 72p, versiones anteriores a 1.2.2.15
  • Oracle Secure Global Desktop, versiones 4.63, 4.71 y 5.2
  • Oracle VM VirtualBox, versiones anteriores a 4.0.36, anteriores a 4.1.44, anteriores a 4.2.36, anteriores a 4.3.36 y anteriores a 5.0.14
  • MySQL Server, versiones 5.5.46 y anteriores, 5.6.27 y anteriores y 5.7.9


A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas:

  • Siete nuevas vulnerabilidades corregidas en Oracle Database Server, ninguna explotable remotamente sin autenticación. Afectan a los componentes: Java VM, Workspace Manager, XDB - XML Database, Database Vault, Security, XDB - XML Database y XML Developer's Kit for C. Otras tres vulnerabilidades afectan a Oracle GoldenGate (todas ellas explotables remotamente sin autenticación).
         
  • Otras 27 vulnerabilidades afectan a Oracle Fusion Middleware. 17 de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Oracle WebCenter Sites, Oracle WebLogic Portal, Oracle WebLogic Server, Oracle GlassFish Server, Oracle Business Intelligence Enterprise Edition, Oracle Endeca Server, Oracle Tuxedo, Oracle BI Publisher, Web Cache, Oracle Identity Federation y Oracle Outside In Technology.     
  • Esta actualización contiene 33 nuevas actualizaciones de seguridad para Oracle Enterprise Manager Grid Control, 23 de ellas explotables remotamente sin autenticación.
         
  • Dentro de Oracle Applications, 78 parches son para Oracle E-Business Suite, cinco parches son para la suite de productos Oracle Supply Chain, 11 para productos Oracle PeopleSoft, 7 para Oracle JD Edwards Products y uno para Oracle iLearning.
          
  • De forma similar dentro de la gama de aplicaciones Oracle Industry, cinco para Oracle Industry Applications y nueve para Oracle Retail Applications.
          
  • En lo referente a Oracle Java SE se incluyen ocho nuevos parches de seguridad, siete de ellos referentes a vulnerabilidades que podrían ser explotadas por un atacante remoto sin autenticar.
         
  • Para la suite de productos Oracle Sun Systems se incluyen 23 nuevas actualizaciones, siete de ellas afectan a Solaris.
         
  • 22 nuevas vulnerabilidades afectan a MySQL Server (solo una de ellas podría ser explotada por un atacante remoto sin autenticar).
          
  • Esta actualización también contiene un parche para para Oracle Virtualization.


Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial en:
Oracle Critical Patch Update Advisory - January 2016
http://www.oracle.com/technetwork/topics/security/cpuoct2015-2367953.html

Más información:

Oracle Critical Patch Update Advisory - January 2016
http://www.oracle.com/technetwork/topics/security/cpujan2016-2367955.html



Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
0 comentarios
Etiquetas: , , , ,

miércoles, 21 de octubre de 2015

Oracle corrige 154 vulnerabilidades en su actualización de seguridad de octubre

Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica su boletín de seguridad de octubre. Contiene parches para 154 vulnerabilidades diferentes en múltiples productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL.

Los fallos se dan en varios componentes de los productos:
  • Oracle Database Server, versiones 11.2.0.4, 12.1.0.1 y 12.1.0.2
  • Mobile Server, versiones 10.3.0.3, 11.3.0.2 y 12.1.0.0
  • Oracle Access Manager, versiones 11.1.2.2 y 11.1.2.3
  • Oracle Business Intelligence Enterprise Edition, versiones 11.1.1.7 y 11.1.1.9
  • Oracle Endeca Server, versiones 7.3.0.0, 7.4.0.0, 7.5.1.1 y 7.6.1.0.0
  • Oracle Enterprise Data Quality, versiones 8.1, 9.0, 11.1.1.7.4 y 12.1.3.0.0
  • Oracle Exalogic Infrastructure, versión EECS 2.0.6.2.3
  • Oracle Fusion Middleware, versiones 10.1.3.5, 11.1.1.7, 11.1.1.8, 11.1.1.9, 11.1.2.1, 11.1.2.2, 11.1.2.3, 12.1.2.0 y 12.1.3.0
  • Oracle GlassFish Server, versiones 3.0.1 y 3.1.2
  • Oracle HTTP Server, versiones 10.1.3.5, 11.1.1.7, 11.1.1.9, 12.1.2.0 y 12.1.3.0
  • Oracle Identity Manager, versiones 11.1.1.7, 11.1.2.2 y 11.1.2.3
  • Oracle JDeveloper, versiones 11.1.2.4.0, 12.1.2.0.0 y 12.1.3.0.0
  • Oracle Mobile Security Suite, versión MSS 3.0
  • Oracle Outside In Technology, versiones 8.5.0, 8.5.1 y 8.5.2
  • Oracle Traffic Director, versiones 11.1.1.7.0 y 11.1.1.9.0
  • Oracle WebCenter Content, versión 10.1.3.5.1
  • Oracle WebCenter Sites, versiones 7.6.2, 11.1.1.6.1 y 11.1.1.8.0
  • Hyperion Installation Technology, versión 11.1.2.3
  • Enterprise Manager Base Platform, versiones 12.1.0.4 y 12.1.0.5
  • Enterprise Manager Ops Center, versiones 12.1.0.1 y 12.2.2
  • OSS Support Tools, versiones anteriores a 8.8.15.7.15
  • Oracle E-Business Suite, versiones 11.5.10.2, 12.0.6, 12.1.3, 12.2.3 y 12.2.4
  • Oracle Agile Engineering Data Management, versiones 6.1.2.2, 6.1.3.0 y 6.2.0.0
  • Oracle Agile PLM, versiones 9.3.3 y 9.3.4
  • Oracle Configurator, versiones 12.0.6, 12.1.3, 12.2.3 y 12.2.4
  • Oracle Transportation Management, versiones 6.1 y 6.2
  • PeopleSoft Enterprise FIN Expenses, versión 9.2
  • PeopleSoft Enterprise FSCM, versión 9.2
  • PeopleSoft Enterprise HCM, versión 9.2
  • PeopleSoft Enterprise HCM Talent Acquistion Managment, versión 9.2
  • PeopleSoft Enterprise PeopleTools, versiones 8.53 y 8.54
  • Siebel Applications, versiones IP2014 PS10 y IP2015 PS5
  • Oracle Fusion Applications, versiones 11.1.2 hasta 11.1.9
  • Oracle Utilities Work and Asset Management, versión 1.9.1.1.2
  • Oracle Communications Convergence, versiones 2.0 y 3.0.1
  • Oracle Communications Diameter Signaling Router (DSR), versiones 4.1.6 (y anteriores), 5.1.0 (y anteriores), 6.0.2 (y anteriores) y 7.1.0 (y anteriores)
  • Oracle Communications LSMS, versión 13.1
  • Oracle Communications Messaging Server, versiones 7.0.5 y 8.0
  • Oracle Communications Performance Intelligence Center Software, versiones 9.0.3 (y anteriores) y 10.1.5 (y anteriores)
  • Oracle Communications Policy Management, versiones 9.9.0 (y anteriores), 10.5.0 (y anteriores), 11.5.0 (y anteriores) y 12.1.0 (y anteriores)
  • Oracle Communications Tekelec HLR Router, versión 4.0.0
  • Oracle Communications User Data Repository, versiones 10.2.0 y anteriores
  • Oracle Retail Back Office, versiones 12.0, 12.0IN, 13.0, 13.1, 13.2, 13.3, 13.4, 14.0 y RM2.0
  • Oracle Retail Central Office, versiones 12.0, 12.0IN, 13.0, 13.1, 13.2, 13.3, 13.4, 14.0 y RM2.0
  • Oracle Retail Open Commerce Platform, versión 3.0
  • Oracle Retail Returns Management:, versiones 12.0, 12.0IN, 13.0, 13.1, 13.2, 13.3, 13.4, 14.0 y RM2.0
  • Oracle Java SE, versiones 6u101, 7u85 y 8u60
  • Oracle Java SE Embedded, versión 8u51
  • Oracle JavaFX, versión 2.2.85
  • Oracle JRockit, versión R28.3.7
  • Fujitsu M10-1, M10-4, M10-4S Servers, versiones anteriores a XCP 2271
  • Integrated Lights Out Manager (ILOM), versiones 3.0, 3.1 y 3.2
  • Solaris, versiones 10 y 11.2
  • Oracle FS1-2 Flash Storage System, versiones 6.1, 6.2 y 6.3
  • Oracle VM VirtualBox, versiones anteriores a 4.0.34, anteriores a 4.1.42, anteriores a  4.2.34, anteriores a 4.3.32 y anteriores a 5.0.8
  • MySQL Enterprise Monitor, versiones 2.3.20 (y anteriores) y 3.0.22 (y anteriores)
  • MySQL Server, versiones 5.5.45 (y anteriores) y 5.6.26 (y anteriores) 

A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas: 
  • Ocho nuevas vulnerabilidades corregidas en Oracle Database Server, siete de ellas para Oracle Database Serve y otra para Oracle Database Mobile/Lite Server. Solo una de ellas es explotable remotamente sin autenticación. Afectan a los componentes: Portable Clusterware, Database Scheduler, Java VM, XDB - XML Database, RDBMS y Mobile Server.
        
  • Otras 23 vulnerabilidades afectan a Oracle Fusion Middleware. 16 de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Oracle Enterprise Data Quality, Oracle Traffic Director, Oracle Exalogic Infrastructure, Oracle Business Intelligence Enterprise Edition, Oracle Endeca Server, Oracle HTTP Server, Oracle JDeveloper, Oracle Mobile Security Suite, Oracle WebCenter Sites, Oracle Access Manager, Oracle GlassFish Server, Oracle Identity Manager, Oracle WebCenter Content, Oracle WebCenter Sites, Oracle JDeveloper y Oracle Outside In Technology.    
  • Una actualización afecta a Oracle Hyperion, que afecta al componente Hyperion Installation Technology.
         
  • Esta actualización contiene cinco nuevas actualizaciones de seguridad para Oracle Enterprise Manager Grid Control, tres de ellas explotables remotamente sin autenticación.
          
  • Dentro de Oracle Applications, 12 parches son para Oracle E-Business Suite, ocho parches son para la suite de productos Oracle Supply Chain, ocho para productos Oracle PeopleSoft y uno para Oracle Siebel CRM.
          
  • De forma similar dentro de la gama de aplicaciones Oracle Industry, una para Oracle Industry Applications, nueve para Oracle Communications Applications y cuatro para Oracle Retail Applications.
          
  • En lo referente a Oracle Java SE se incluyen 25 nuevos parches de seguridad, 24 de ellos referentes a vulnerabilidades que podrían ser explotadas por un atacante remoto sin autenticar.
          
  • Para la suite de productos Oracle Sun Systems se incluyen 15 nuevas actualizaciones, 12 de ellas afectan a Solaris.
         
  • Esta actualización también contiene un parche para Oracle Pillar Axiom y tres nuevos parches para Oracle Virtualization.
          
  • 30 nuevas vulnerabilidades afectan a MySQL Server (dos de ellas podrían ser explotadas por un atacante remoto sin autenticar).

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial en:
Oracle Critical Patch Update Advisory - October 2015
http://www.oracle.com/technetwork/topics/security/cpuoct2015-2367953.html

Más información:

Oracle Critical Patch Update Advisory - October 2015
http://www.oracle.com/technetwork/topics/security/cpuoct2015-2367953.html



Antonio Ropero
antonior@hispasec.com
Twitter: @aropero

0 comentarios
Etiquetas: , , , ,

viernes, 17 de julio de 2015

Oracle corrige 193 vulnerabilidades en su actualización de seguridad de julio

Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica suboletín de seguridad de julio. Contiene parches para 193 vulnerabilidades diferentes en múltiples productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL.
Los fallos se dan en varios componentes de los productos:
  • Application Express, versiones anteriores a 5.0
  • Oracle Database Server, versiones 11.1.0.7, 11.2.0.3, 11.2.0.4, 12.1.0.1 y 12.1.0.2
  • Oracle Fusion Applications, versiones 11.1.2 hasta 11.1.9
  • Oracle Fusion Middleware, versiones 10.3.6.0, 11.1.1.7, 11.1.1.8, 11.1.1.9, 11.1.2.2, 12.1.1, 12.1.2 y 12.1.3
  • Oracle Access Manager, versiones 11.1.1.7 y 11.1.2.2
  • Oracle Business Intelligence Enterprise Edition, versiones 11.1.1.7 y 11.1.1.9
  • Oracle Business Intelligence Enterprise Edition, Mobile App versiones anteriores a 11.1.1.7.0 (11.6.39)
  • Oracle Data Integrator, versiones 11.1.1.3.0
  • Oracle Directory Server Enterprise Edition, versiones 7.0, 11.1.1.7
  • Oracle Endeca Information Discovery Studio, versiones 2.2.2, 2.3, 2.4, 3.0 y 3.1
  • Oracle Event Processing, versiones 11.1.1.7 y 12.1.3.0
  • Oracle Exalogic Infrastructure, versiones 2.0.6.2
  • Oracle GlassFish Server, versiones 2.1.1, 3.0.1 y 3.1.2
  • Oracle iPlanet Web Proxy Server, versiones 4.0
  • Oracle iPlanet Web Server, versiones 6.1, 7.0
  • Oracle JDeveloper, versiones 11.1.1.7.0, 11.1.2.4.0, 12.1.2.0.0 y 12.1.3.0.0
  • Oracle OpenSSO, versiones 3.0-05
  • Oracle Traffic Director, versiones 11.1.1.7.0
  • Oracle Tuxedo, versiones SALT 10.3, SALT 11.1.1.2.2, Tuxedo 12.1.1.0
  • Oracle Web Cache, versiones 11.1.1.7.0
  • Oracle WebCenter Portal, versiones 11.1.1.8.0 y 11.1.1.9.0
  • Oracle WebCenter Sites, versiones 11.1.1.6.1 Community, 11.1.1.8.0 Community, 12.2.1.0
  • Oracle WebLogic Server, versiones 10.3.6.0, 12.1.1.0, 12.1.2.0 y 12.1.3.0
  • Hyperion Common Security, versiones 11.1.2.2, 11.1.2.3 y 11.1.2.4
  • Hyperion Enterprise Performance Management Architect, versiones 11.1.2.2 y 11.1.2.3
  • Hyperion Essbase, versiones 11.1.2.2 y 11.1.2.3
  • Enterprise Manager Base Platform, versiones 11.1.0.1
  • Enterprise Manager for Oracle Database, versiones 11.1.0.7, 11.2.0.3 y 11.2.0.4
  • Enterprise Manager Plugin for Oracle Database, versiones 12.1.0.5, 12.1.0.6 y 12.1.0.7
  • Oracle E-Business Suite, versiones 11.5.10.2, 12.0.6, 12.1.1, 12.1.2, 12.1.3, 12.2.3 y 12.2.4
  • Oracle Agile PLM, versiones 9.3.4
  • Oracle Agile PLM Framework, versiones 9.3.3
  • Oracle Agile Product Lifecycle Management for Process, versiones 6.0.0.7, 6.1.0.3, 6.1.1.5 y 6.2.0.0
  • Oracle Transportation Management, versiones 6.1, 6.2, 6.3.0, 6.3.1, 6.3.2, 6.3.3, 6.3.4, 6.3.5, 6.3.6 y 6.3.7
  • PeopleSoft Enterprise HCM Candidate Gateway, versiones 9.1, 9.2
  • PeopleSoft Enterprise HCM Talent Acquisition Manager, versiones 9.1, 9.2
  • PeopleSoft Enterprise PeopleTools, versiones 8.53 y 8.54
  • PeopleSoft Enteprise Portal - Interaction Hub, versiones 9.1.00
  • Siebel Apps - E-Billing, versiones 6.1, 6.1.1 y 6.2
  • Siebel Core - Server OM Svcs, versiones 8.1.1, 8.2.2 y 15.0
  • Siebel UI Framework, versiones 8.1.1, 8.2.2 y 15.0
  • Oracle Commerce Guided Search / Oracle Commerce Experience Manager, versiones 3.0.2, 3.1.1, 3.1.2, 11.0 y 11.1
  • Oracle Communications Messaging Server, versiones 7.0
  • Oracle Communications Session Border Controller, versiones anteriores a 7.2.0m4
  • Oracle Java FX, versiones 2.2.80
  • Oracle Java SE, versiones 6u95, 7u80 y 8u45
  • Oracle Java SE Embedded, versiones 7u75 y 8u33
  • Oracle JRockit, versiones R28.3.6
  • Fujitsu M10-1, M10-4, M10-4S Servers, versiones XCP anteriores a XCP 2260
  • Integrated Lights Out Manager (ILOM), versiones anteriores a 3.2.6
  • Oracle Ethernet Switch ES2-72, Oracle Ethernet Switch ES2-64, versiones anteriores a 1.9.1.2
  • Oracle Switch ES1-24, versiones anteriores a 1.3.1
  • Oracle VM Server for SPARC, versiones 3.2
  • SPARC Enterprise M3000, M4000, M5000, M8000, M9000 Servers, versiones XCP anteriores a XCP 1120
  • Solaris, versiones 10 y 11.2
  • Solaris Cluster, versiones 3.3 y 4.2
  • Sun Blade 6000 Ethernet Switched NEM 24P 10GE, versiones anteriores a 1.2.2
  • Sun Network 10GE Switch 72p, versiones anteriores a 1.2.2
  • Secure Global Desktop, versiones 4.63, 4.71, 5.1 y 5.2
  • Sun Ray Software, versiones anteriores a 5.4.4
  • Oracle VM VirtualBox, versiones anteriores a 4.0.32, 4.1.40, 4.2.32 y 4.3.30
  • MySQL Server, versiones 5.5.43 y anteriores, 5.6.24 y anteriores
  • Oracle Berkeley DB, versiones 11.2.5.1.29, 11.2.5.2.42, 11.2.5.3.28 y 12.1.6.0.35


A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas: 
  • 10 nuevas vulnerabilidades corregidas en Oracle Database Server, dos de ellas explotables remotamente sin autenticación. Afectan a los componentes: Java VM, Oracle OLAP, Core RDBMS, RDBMS Partitioning, Application Express, RDBMS Security, Application Express, RDBMS Scheduler y RDBMS Support Tools.
         
  • Otras 39 vulnerabilidades afectan a Oracle Fusion Middleware. 36 de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Oracle Access Manager, Oracle Business Intelligence Enterprise Edition, Oracle Data Integrator, Oracle Directory Server Enterprise Edition, Oracle Endeca Information Discovery Studio, Oracle Event Processing, Oracle Exalogic Infrastructure, Oracle GlassFish Server, Oracle iPlanet Web Proxy Server, Oracle iPlanet Web Server, Oracle JDeveloper, Oracle OpenSSO, Oracle Traffic Director, Oracle Tuxedo, Oracle WebCenter Portal, Oracle WebCenter Sites, Oracle WebLogic Server y Web Cache.
         
  • Cuatro actualizaciones afectan a Oracle Hyperion, una de ellas podría ser explotada por un atacante remoto sin autenticar. Los componentes afectados son: Hyperion Essbase, Hyperion Common Security y Hyperion Enterprise Performance Management Architect.
              
  • Esta actualización contiene tres nuevas actualizaciones de seguridad para Oracle Enterprise Manager Grid Control con una explotable remotamente sin autenticación.
         
  • Dentro de Oracle Applications, 13 parches son para Oracle E-Business Suite, siete parches son para la suite de productos Oracle Supply Chain, ocho para productos Oracle PeopleSoft, cinco para Oracle Siebel CRM y dos para la plataforma Oracle Commerce.
          
  • También se incluyen dos nuevos parches para Oracle Communications Applications.
       
  • En lo referente a Oracle Java SE se incluyen 25 nuevos parches de seguridad, 23 de ellos referentes a vulnerabilidades que podrían ser explotadas por un atacante remoto sin autenticar. Se incluye la actualización para el 0day detectado recientemente por Trend Micro, con el identificador CVE-2015-2590.
        
  • Para la suite de productos Oracle Sun Systems se incluyen 21 nuevas actualizaciones, nueve de ellas afectan a Solaris.
        
  • Esta actualización contiene 11 nuevos parches para Oracle Virtualization, ocho de las vulnerabilidades podrían explotarse de forma remota sin autenticación.
       
  • 18 nuevas vulnerabilidades afectan a MySQL Server.
       
  • Por último se incluyen 25 nuevas actualizaciones para Oracle Berkeley DB. 

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial en:
Oracle Critical Patch Update Advisory - July 2015
http://www.oracle.com/technetwork/topics/security/cpujul2015-2367936.html

Más información:

Oracle Critical Patch Update Advisory - July 2015
http://www.oracle.com/technetwork/topics/security/cpujul2015-2367936.html
  
una-al-dia (15/07/2015) Nuevo 0day en Java
http://unaaldia.hispasec.com/2015/07/nuevo-0day-en-java.html



Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
0 comentarios
Etiquetas: , , , , ,

jueves, 16 de abril de 2015

Oracle corrige 98 vulnerabilidades en su actualización de seguridad de abril

Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica su boletín de seguridad de abril. Contiene parches para 98 vulnerabilidades diferentes en múltiples productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL.

Los fallos se dan en varios componentes de los productos:
  • Oracle Database Server, versiones 11.1.0.7, 11.2.0.3, 11.2.0.4, 12.1.0.1 y 12.1.0.2
  • Oracle Fusion Applications, versiones 11.1.2 hasta 11.1.9
  • Oracle Access Manager, versiones 11.1.1.5 y 11.1.1.7
  • Oracle Exalogic Infrastructure, versiones 1.x y 2.x
  • Oracle GlassFish Server, versiones 2.1.1, 3.0.1 y 3.1.2
  • Oracle GoldenGate Monitor, versiones 11.1.2.1.0
  • Oracle iPlanet Web Proxy Server, versiones 4.0
  • Oracle iPlanet Web Server, versiones 6.1 y 7.0
  • Oracle OpenSSO, versiones 3.0-04
  • Oracle Outside In Technology, versiones 8.4.1, 8.5.0 y 8.5.1
  • Oracle WebCenter Portal, versiones 11.1.1.8.0
  • Oracle WebCenter Sites, versiones 7.6.2, 11.1.1.6.1 y 11.1.1.8.0
  • Oracle WebLogic Server, versiones 10.3.6.0, 12.1.1.0, 12.1.2.0 y 12.1.3.0
  • Oracle Hyperion BI+, versiones 11.1.2.2 y 11.1.2.3
  • Oracle Hyperion Smart View para Office, versiones 11.1.2.x
  • Enterprise Manager Base Platform, versiones MOS 12.1.0.5, MOS 12.1.0.6
  • Application Management Pack para Oracle E-Business Suite, versiones AMP 121020 y AMP 121030
  • Oracle E-Business Suite, versiones 11.5.10.2, 12.0.4, 12.0.6, 12.1.1, 12.1.2, 12.1.3, 12.2.3 y 12.2.4
  • Oracle Agile Engineering Data Management, versiones 6.1.3.0
  • Oracle Demand Planning, versiones 11.5.10, 12.0, 12.1 y 12.2
  • Oracle Transportation Management, versiones 6.1, 6.2, 6.3.0, 6.3.1, 6.3.2, 6.3.3, 6.3.4, 6.3.5 y 6.3.6
  • PeopleSoft Enterprise PeopleTools, versiones 8.53 y 8.54
  • PeopleSoft Enterprise Portal Interaction Hub, versiones 9.1.0
  • PeopleSoft Enterprise SCM Strategic Sourcing, versiones 9.1 y 9.2
  • JD Edwards EnterpriseOne Technology, versiones 9.1
  • Siebel Applications, versiones 8.1 y 8.2
  • Oracle Commerce Guided Search/Oracle Commerce Experience Manager, versiones 3.x y 11.x
  • Oracle Commerce Platform, versiones 9.4, 10.0 y 10.2
  • Oracle Retail Back Office, versiones 12.0, 12.0IN, 13.0, 13.1, 13.2, 13.3, 13.4, 14.0 y 14.1
  • Oracle Retail Central Office, versiones 13.1, 13.2, 13.3, 13.4, 14.0 y 14.1
  • Oracle Argus Safety, versiones 8.0
  • Oracle Knowledge, versiones 8.2.3.10.1 y 8.4.7.2
  • Oracle Java FX, versiones 2.2.76
  • Oracle Java SE, versiones 5.0u81, 6u91, 7u76 y 8u40
  • Oracle JRockit, versiones R28.3.5
  • Cisco MDS Fiber Channel Switch, versiones 5.2 y 6.2
  • Oracle VM Server para SPARC, versiones 3.1 y 3.2
  • Solaris, versiones 10 y 11.2
  • MySQL Connectors, versiones 5.1.34 y anteriores
  • MySQL Enterprise Monitor, versiones 2.3.19 (y anteriores) y 3.0.18 (y anteriores)
  • MySQL Server, versiones 5.5.42 (y anteriores) y 5.6.23 (y anteriores)
  • MySQL Utilities, versiones 1.5.1 y anteriores
  • SQL Trace Analyzer, versiones anteriores a 12.1.11


A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas:

  • Cuatro nuevas vulnerabilidades corregidas en Oracle Database Server. Afectan a los componentes Java VM, XDB - XML Database, Core RDBMS y XDK and XDB - XML Database.
         
  • Otras 17 vulnerabilidades afectan a Oracle Fusion Middleware. 12 de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Oracle Exalogic Infrastructure, Oracle GlassFish Server, Oracle iPlanet Web Proxy Server, Oracle iPlanet Web Server, Oracle Access Manager, Oracle WebLogic Server, Oracle GoldenGate Monitor, Oracle Exalogic Infrastructure, Oracle WebCenter Sites, Oracle WebLogic Server, Oracle GlassFish Server, Oracle WebCenter Portal, Oracle OpenSSO y Oracle Outside In Technology.     
  • Dos actualizaciones afectan a Oracle Hyperion, una de ellas podría ser explotada por un atacante remoto sin autenticar. Los componentes afectados son: Oracle Hyperion Smart View for Office y Oracle Hyperion BI+.
         
  • Esta actualización contiene una nueva actualización de seguridad para Oracle Enterprise Manager Grid Control por una vulnerabilidad explotable remotamente sin autenticación.
         
  • Dentro de Oracle Applications, cuatro parches son para Oracle E-Business Suite, siete parches son para la suite de productos Oracle Supply Chain, seis para productos Oracle PeopleSoft, uno para productos Oracle JD Edwards, uno para Oracle Siebel CRM y dos para la plataforma Oracle Commerce.
         
  • Igualmente dentro de Oracle Industry Applications se incluye un nuevo parche para aplicaciones Oracle Health Sciences y dos nuevos parches para aplicaciones Oracle Retail.
         
  • También hay una nueva actualización para Oracle Right Now Service Cloud y otra a Oracle Support Tools.
         
  • En lo referente a Oracle Java SE se incluyen 14 nuevos parches de seguridad. Todas las vulnerabilidades podrían ser explotadas por un atacante remoto sin autenticar.
         
  • Para la suite de productos Oracle Sun Systems se incluyen 8 nuevas actualizaciones, cinco de ellas afectan a Solaris, también afectan a Cisco MDS Fiber Channel Switch y a Oracle VM Server para SPARC.
         
  • 26 nuevas vulnerabilidades afectan a MySQL Server, cuatro de ellas explotables de forma remota sin autenticación.


Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial en:
Oracle Critical Patch Update Advisory - April 2015
http://www.oracle.com/technetwork/topics/security/cpuapr2015-2365600.html

Más información:

Oracle Critical Patch Update Advisory - April 2015
http://www.oracle.com/technetwork/topics/security/cpuapr2015-2365600.html


Antonio Ropero
antonior@hispasec.com

Twitter: @aropero
0 comentarios
Etiquetas: , , ,

martes, 20 de enero de 2015

Oracle corrige 169 vulnerabilidades en su actualización de seguridad de enero

Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica su boletín de seguridad de enero. Contiene parches para 169 vulnerabilidades diferentes en una larga lista de productos pertenecientes a múltiples familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL.

Los fallos se dan en varios componentes de los productos:
  • Oracle Database Server, versiones 11.1.0.7, 11.2.0.3, 11.2.0.4, 12.1.0.1 y 12.1.0.2
  • Oracle Fusion Middleware, versiones 10.1.3.5, 11.1.1.7, 11.1.2.1, 11.1.2.2, 12.1.2 y 12.1.3
  • Oracle Fusion Applications, versiones 11.1.2 hasta 11.1.9
  • Oracle Access Manager, versiones 11.1.1.5, 11.1.1.7, 11.1.2.1 y 11.1.2.2
  • Oracle Adaptive Access Manager, versiones 11.1.1.5, 11.1.1.7, 11.1.2.1 y 11.1.2.2
  • Oracle BI Publisher, versiones 10.1.3.4.2 y 11.1.1.7
  • Oracle Business Intelligence Enterprise Edition, versiones 10.1.3.4.2 y 11.1.1.7
  • Oracle Containers for J2EE, versión 10.1.3.5
  • Oracle Directory Server Enterprise Edition, versiones 7.0 y 11.1.1.7
  • Oracle Exalogic Infrastructure, versiones 2.0.6.2.0 (para todos los X2-2, X3-2 y X4-2)
  • Oracle Forms, versiones 11.1.1.7, 11.1.2.1 y 11.1.2.2
  • Oracle GlassFish Server, versiones 3.0.1 y 3.1.2
  • Oracle HTTP Server, versiones 10.1.3.5.0, 11.1.1.7.0, 12.1.2.0 y 12.1.3.0
  • Oracle OpenSSO, versión 8.0 Update 2 Patch 5
  • Oracle Real-Time Decision Server, versión 11.1.1.7, RTD Platform 3.0.x
  • Oracle Reports Developer, versiones 11.1.1.7 y 11.1.2.2
  • Oracle SOA Suite, versiones 11.1.1.7 y 12.1.3.0
  • Oracle Waveset, versión 8.1.1
  • Oracle WebCenter Content, versión 11.1.1.8.0
  • Oracle WebLogic Portal, versiones 10.0.1.0, 10.2.1.0 y 10.3.6.0
  • Oracle WebLogic Server, versiones 10.0.2.0, 10.3.6.0, 12.1.1.0, 12.1.2.0 y 12.1.3.0
  • Enterprise Manager Base Platform, versiones 12.1.0.3 y 12.1.0.4
  • Enterprise Manager Ops Center, versiones 11.1, 11.1.3, 12.1, 12.1.4 y 12.2
  • Oracle E-Business Suite, versiones 11.5.10.2, 12.0.4, 12.0.5, 12.0.6, 12.1.1, 12.1.2, 12.1.3, 12.2.2, 12.2.3 y 12.2.4
  • Oracle Agile PLM, versión 9.3.3
  • Oracle Agile PLM for Process, versión 6.1.0.3
  • Oracle Transportation Management, versiones 6.1, 6.2, 6.3.0, 6.3.1, 6.3.2, 6.3.3, 6.3.4 y 6.3.5
  • PeopleSoft Enterprise HRMS, versión 9.1
  • PeopleSoft Enterprise PeopleTools, versiones 8.52, 8.53 y 8.54
  • JD Edwards EnterpriseOne Tools, versión 9.1.5
  • Oracle Enterprise Asset Management, versiones 8.1.1 y 8.2.2
  • Siebel Applications, versiones 8.1.1 y 8.2.2
  • Oracle iLearning, versiones 6.0 y 6.1
  • Oracle Communications Diameter Signaling Router, versiones 3.x, 4.x y 5.0
  • Oracle Communications Messaging Server, versiones 7.0.5.33.0 y anteriores
  • Oracle MICROS Retail, versiones Xstore: 3.2.1, 3.4.2, 3.5.0, 4.0.1, 4.5.1, 4.8.0, 5.0.3, 5.5.3, 6.0.6 y 6.5.2
  • Oracle Healthcare Master Person Index, versiones 1.x y 2.x
  • Oracle Java SE, versiones 5.0u75, 6u85, 7u72 y 8u25
  • Oracle Java SE Embedded, versiones 7u71 y 8u6
  • Oracle JRockit, versiones R27.8.4 y R28.3.4
  • Fujitsu M10-1, M10-4, M10-4S Servers, versiones anteriores a la XCP 2240
  • Integrated Lights Out Manager(ILOM), versiones anteriores a la 3.2.4
  • Solaris, versiones 10 y 11
  • Solaris Cluster, versiones 3.3 y 4.1
  • SPARC Enterprise M3000, M4000, M5000, M8000, M9000 Servers, versiones anterioes a XCP 1119
  • Oracle Secure Global Desktop, versiones 4.63, 4.71, 5.0 y 5.1
  • Oracle VM VirtualBox, versiones anteriores a la 3.2.26, 4.0.28, 4.1.36, 4.2.28 y 4.3.20
  • MySQL Server, versiones 5.5.40 (y anteriores) y 5.6.21 (y anteriores)


A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas: 
  • Ocho nuevas vulnerabilidades corregidas en Oracle Database Server. Afecta a los componentes Core RDBMS, XML Developer's Kit for C, OJVM, Workspace Manager, Recovery y PL/SQL.
        
  • Otras 36 vulnerabilidades afectan a Oracle Fusion Middleware. 28 de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: BI Publisher (formerly XML Publisher), Oracle Access Manager, Oracle Adaptive Access Manager, Oracle Business Intelligence Enterprise Edition, Oracle Containers for J2EE, Oracle Directory Server Enterprise Edition, Oracle Exalogic Infrastructure, Oracle Forms, Oracle GlassFish Server, Oracle HTTP Server, Oracle OpenSSO, Oracle Real-Time Decision Server, Oracle Reports Developer, Oracle Security Service, Oracle SOA Suite, Oracle Waveset, Oracle WebCenter Content, Oracle WebLogic Portal y Oracle WebLogic Server.
         
  • Esta actualización contiene 10 nuevas actualizaciones de seguridad para Oracle Enterprise Manager Grid Control todas explotables de forma remota sin autenticación.
         
  • Dentro de Oracle Applications, 10 parches son para Oracle E-Business Suite, seis parches son para Oracle Supply Chain Products Suite, siete para productos Oracle PeopleSoft, uno para productos Oracle JD Edwards, 17 nuevos parches para Oracle Siebel CRM y dos para Oracle iLearning.
         
  • Igualmente para Oracle Industry Applications se incluyen dos para Oracle Communications Applications, uno para Oracle Retail Applications y otro para Oracle Health Sciences Applications.
         
  • En lo referente a Oracle Java SE se incluyen 19 nuevos parches de seguridad. 14 de ellas podrían ser explotadas por un atacante remoto sin autenticar.
         
  • 19 de las vulnerabilidades afectan a la Suite de Productos Sun. 10 de ellas explotables de forma remota sin autenticar.
        
  • 11 nuevas actualizaciones afectan a Oracle Virtualization.
        
  • Nueve nuevas vulnerabilidades afectan a MySQL Server, 3 de ellas explotables de forma remota sin autenticación.

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial en:
Oracle Critical Patch Update Advisory - January 2015
http://www.oracle.com/technetwork/topics/security/cpujan2015-1972971.html

Más información:

Oracle Critical Patch Update Advisory - January 2015
http://www.oracle.com/technetwork/topics/security/cpujan2015-1972971.html
  

Antonio Ropero
antonior@hispasec.com
Twitter: @aropero


0 comentarios
Etiquetas: , , , ,
Suscribirse a: Entradas (Atom)
Hispasec Sistemas | Copyright ©1998-2017