Avisos 17 de April, 2013

Actualització de Pegats Crítics d'Oracle, Abril 2013

Oracle ha publicat les seves actualitzacions trimestrals corresponents al mes d'abril, que inclouen 128 pegats per a diferents problemes de seguretat, dels quals 4 pegats són de Oracle Database Server

 

Impacte
 
Execució de codi arbitrari i denegació de servei. Compromís total de confidencialitat, integritat i disponibilitat de manera remota i sense necessitat d'autenticació.
 
Productes afectats
 
Oracle Database 11g Release 2, versions 11.2.0.2, 11.2.0.3
Oracle Database 11g Release 1, versió 11.1.0.7
Oracle Database 10g Release 2, versions 10.2.0.4, 10.2.0.5
Oracle Application Express, versions anteriors a 4.2.1
Oracle Containers for J2EE, versió 10.1.3.5
Oracle COREid Access, versió 10.1.4.3     
Oracle GoldenGate Veridata, versió 3.0.0.11
Oracle HTTP Server, versions 10.1.3.5.0, 11.1.1.5.0, 11.1.1.6.0
Oracle JRockit, versions R27.7.4 i anteriors, R28.2.6 i anteriors
Oracle Outside In Technology, versions 8.3.7, 8.4.0
Oracle WebCenter Capture, versió 10.1.3.5.1
Oracle WebCenter Content, versions 10.1.3.5.1, 11.1.1.6.0
Oracle WebCenter Interaction, versions 6.5.1, 10.3.3.0
Oracle WebCenter Sites, versions 7.6.2, 11.1.1.6.0, 11.1.1.6.1
Oracle WebLogic Server, versions 10.0.2, 10.3.5, 10.3.6, 12.1.1
Oracle Web Services Manager, versió 11.1.1.6     
Oracle E-Business Suite Release 12i, versions 12.0.6, 12.1.1, 12.1.2, 12.1.3     
Oracle E-Business Suite Release 11i, versió 11.5.10.2     
Oracle Agile EDM, versions 6.1.1.0, 6.1.2.0, 6.1.2.2     
Oracle Transportation Management, versions 5.5.05, 6.2     
Oracle PeopleSoft HRMS, versió 9.1     
Oracle PeopleSoft PeopleTools, versions 8.51, 8.52, 8.53     
Oracle Siebel CRM, versions 8.1.1, 8.2.2     
Oracle Clinical Remote Data Capture Option, versions 4.6.0, 4.6.6     
Oracle Retail Central Office, versions 13.1, 13.2, 13.3, 13.4     
Oracle Retail Integration Bus, versions 13.0, 13.1, 13.2     
Oracle FLEXCUBE Direct Banking, versions 2.8.0 - 12.0.1     
Primavera P6 Enterprise Project Portfolio Management, versions 7.0, 8.1, 8.2     
Oracle and Sun Systems Product Suite     
Oracle Sun Middleware Products     
Oracle MySQL Server, versions 5.1, 5.5, 5.6     
Oracle Automatic Service Request, versions anteriors a 4.3.2    
 
Solució
 
Oracle recomana aplicar els pegats tan aviat sigui possible. Consultar els enllaços de la "Taula de disponibilitat de pegats" a l'avís de seguretat d'Oracle (veure referències). Recordem que aquest accés requereix un compte vàlid de suport Oracle.
 
Detall
 
4 vulnerabilitats afecten al servidor de base de dades d'Oracle, amb un CVSS Base màxim de 10 per a Windows i de 7'5 en altres plataformes com Solaris, Linux, etc. Aquesta vulnerabilitat es limita a Oracle Database 11.2.0.2 i 11.2.0.3 que operin en configuracions RAC.
 
29 vulnerabilitats afecten al producte Oracle Fusion Middleware, amb un CVSS Base màxim de 10 , i afecta a una sèrie de vulnerabilitats al JRE que és aplicable a JRockit. A més, un nombre d'aquests pegats són per altres components inclosos a Oracle Fusion Middleware.
 
18 vulnerabilitats afecten als productes Oracle Sun que inclouen 16 actualitzacions que afecten a Solaris i 2 a Oracle GlassFish Server. La vulnerabilitat amb més severa té un CVSS Base màxim de 6'4. 
 
25 vulnerabilitats afecten a Oracle MySQL, la vulnerabilitat més severa té un CVSS Base màxim de 6'8.
 
En aquesta actualització de pegats, també es veuen afectat altres aplicacions d'Oracle: 6 vulnerabilitats afecten a Oracle E-Business Suite, 3 vulnerabilitats afecten a Oracle Supply Chain, 11 a PeopleSoft Enterprise, 8 afecten al CRM Oracle Siebel, 3 a Oracle Industry Applications,18 a FLEXCUBE, i 2 més afecten a Oracle Primavera.
 
El lllistat de vulnerabilitats corregides és el següent:
CVE-2013-1534
CVE-2013-1519
CVE-2013-1554
CVE-2013-1538
CVE-2013-2380
CVE-2009-1955
CVE-2009-1890
CVE-2009-1956
CVE-2013-1553
CVE-2013-1565
CVE-2012-0841
CVE-2007-1862
CVE-2009-1191
CVE-2009-2699
CVE-2013-1545
CVE-2010-0408
CVE-2010-2791
CVE-2010-2068
CVE-2013-1497
CVE-2013-1542
CVE-2009-0023
CVE-2012-2751
CVE-2013-1522
CVE-2013-1529
CVE-2013-1504
CVE-2013-2390
CVE-2013-1514
CVE-2013-1516
CVE-2013-1559
CVE-2013-1509
CVE-2013-1503
CVE-2012-4303
CVE-2013-2393
CVE-2013-2388
CVE-2013-1524
CVE-2013-2396
CVE-2013-1528
CVE-2013-1501
CVE-2013-1517
CVE-2013-0410
CVE-2013-2441
CVE-2013-1536
CVE-2013-2409
CVE-2013-1513
CVE-2013-2408
CVE-2013-2404
CVE-2013-1550
CVE-2013-2402
CVE-2013-2410
CVE-2013-1527
CVE-2013-2374
CVE-2013-2406
CVE-2013-2401
CVE-2013-1551
CVE-2013-2398
CVE-2013-1510
CVE-2013-2413
CVE-2013-2399
CVE-2013-0416
CVE-2013-1543
CVE-2013-2403
CVE-2013-1520
CVE-2013-2397
CVE-2013-1525
CVE-2013-1533
CVE-2013-1535
CVE-2013-2386
CVE-2013-1505
CVE-2013-2385
CVE-2013-1568
CVE-2013-1562
CVE-2013-2387
CVE-2013-1541
CVE-2013-1549
CVE-2013-1547
CVE-2013-1539
CVE-2013-2377
CVE-2013-1556
CVE-2013-2379
CVE-2013-1560
CVE-2013-2382
CVE-2013-1546
CVE-2013-2405
CVE-2013-2411
CVE-2013-0405
CVE-2013-0411
CVE-2013-1507
CVE-2013-1498
CVE-2013-1496
CVE-2013-1494
CVE-2013-0408
CVE-2013-0413
CVE-2013-0406
CVE-2013-1530
CVE-2013-0404
CVE-2013-0412
CVE-2012-0570
CVE-2012-0568
CVE-2013-0403
CVE-2013-1499
CVE-2013-1515
CVE-2013-1508
CVE-2013-1495
CVE-2013-2395
CVE-2013-1521
CVE-2013-2378
CVE-2013-1552
CVE-2013-1531
CVE-2013-2375
CVE-2013-1570
CVE-2013-1523
CVE-2013-1544
CVE-2013-1512
CVE-2013-1532
CVE-2013-2389
CVE-2013-2392
CVE-2013-1555
CVE-2013-1526
CVE-2012-5614
CVE-2013-2376
CVE-2013-1567
CVE-2013-1511
CVE-2013-1566
CVE-2013-2381
CVE-2013-1548
CVE-2013-2391
CVE-2013-1506
CVE-2013-1502
 
Referències
 
Avís de seguretat d'Actualització de Pegats Crítics d’Oracle (Abril 2013).
Publicat a: Avisos