Avisos 18 de January, 2012

Actualització pegats crítics d’Oracle, Gener 2012

Oracle ha publicat les seves actualitzacions trimestrals corresponents al mes de gener, què inclouen 78 pegats amb la finalitat de resoldre un conjunt de problemes de seguretat.

Recursos afectats:


Productes afectats
 
•    Oracle Database 11g Release 2, versions 11.2.0.2, 11.2.0.3
 
•    Oracle Database 11g Release 1, versió 11.1.0.7
 
•    Oracle Database 10g Release 2, versions 10.2.0.3, 10.2.0.4, 10.2.0.5
 
•    Oracle Database 10g Release 1, versió 10.1.0.5
 
•    Oracle Fusion Middleware 11g Release 1, versions 11.1.1.3.0, 11.1.1.4.0, 11.1.1.5.0
 
•    Oracle Application Server 10g Release 3, versió 10.1.3.5.0
 
•    Oracle Outside In Technology, versions 8.3.5, 8.3.7
 
•    Oracle WebLogic Server, versions 9.2.4, 10.0.2, 11gR1 (10.3.3, 10.3.4, 10.3.5)
 
•    Oracle E-Business Suite Release 12, versions 12.1.2, 12.1.3
 
•    Oracle E-Business Suite Release 11i, versió 11.5.10.2
 
•    Oracle Transportation Management, versions 5.5, 6.0, 6.1, 6.2
 
•    Oracle PeopleSoft Enterprise CRM, versió 8.9
 
•    Oracle PeopleSoft Enterprise HCM, versions 8.9, 9.0, 9.1
 
•    Oracle PeopleSoft Enterprise PeopleTools, versió 8.52
 
•    Oracle JDEdwards, versió 8.98
 
•    Oracle Sun Product Suite
 
•    Oracle VM VirtualBox, versió 4.1
 
•    Oracle Virtual Desktop Infrastructure, versió 3.2
 
•    Oracle MySQL Server, versions 5.0, 5.1, 5.5
 

Impacte: Denegació de servei remota sense necessitat d’autenticació. Compromís total de confidencialitat, integritat i disponibilitat.

Solució:

Producte VirtualBox, en aquest cas la notificació d'actualització apareixerà automàticament el el moment d’iniciar el programa, sempre que l'opció corresponent estigui habilitada (molt recomanable).
 
Per activar aquesta opció, cal accedir al menú Arxiu>Preferències>Actualitzar, i activar l'opció "Comprovar actualitzacions". Per executar la comprovació manualment, accediu al menú Ajuda>Comprovar actualitzacions.
 




Per a la resta de productes Oracle, consultar els enllaços de la "Taula de disponibilitat de pegats" a l'avís de seguretat d'Oracle (veure referències). Recordem que aquest accés requereix un compte de suport Oracle vàlid.
 




Detall:




La puntuació CVSS més alta entre les vulnerabilitats reportades és 7.8, i correspon a una denegació de servei per a plataforma Solaris, que pot ser provocada remotament per un usuari sense autenticació mitjançant un paquet TCP/IP especialment manipulat (CVE-2012-0094).
 
La vulnerabilitat local més greu,  es tracta d’una escalada de privilegis d’un usuari local amb CVSS de 6.8, afecta el component Kerberos de plataforma Solaris (CVE-2012-0100).
 



El llistat de vulnerabilitats individuals corregides és:
 
•    CVE-2012-0082
 
•    CVE-2012-0072
 
•    CVE-2012-0083
 
•    CVE-2011-3568
 
•    CVE-2011-3531
 
•    CVE-2011-3569
 
•    CVE-2011-3566
 
•    CVE-2011-4516
 
•    CVE-2011-4517
 
•    CVE-2012-0110
 
•    CVE-2012-0085
 
•    CVE-2012-0084
 
•    CVE-2012-0077
 
•    CVE-2012-0073
 
•    CVE-2012-0078
 
•    CVE-2011-2271
 
•    CVE-2011-3192
 
•    CVE-2012-0080
 
•    CVE-2012-0074
 
•    CVE-2012-0088
 
•    CVE-2012-0076
 
•    CVE-2012-0089
 
•    CVE-2012-0091
 
•    CVE-2011-2324
 
•    CVE-2011-2321
 
•    CVE-2011-2325
 
•    CVE-2011-2326
 
•    CVE-2011-3509
 
•    CVE-2011-3514
 
•    CVE-2011-3524
 
•    CVE-2011-2317
 
•    CVE-2012-0094
 
•    CVE-2012-0100
 
•    CVE-2011-5035
 
•    CVE-2012-0104
 
•    CVE-2012-0096
 
•    CVE-2012-0103
 
•    CVE-2011-3565
 
•    CVE-2012-0079
 
•    CVE-2011-3573
 
•    CVE-2012-0081
 
•    CVE-2012-0109
 
•    CVE-2011-3574
 
•    CVE-2012-0099
 
•    CVE-2011-3564
 
•    CVE-2011-3570
 
•    CVE-2012-0097
 
•    CVE-2012-0098
 
•    CVE-2012-0105
 
•    CVE-2012-0111
 
•    CVE-2011-3571
 
•    CVE-2012-0113
 
•    CVE-2011-2262
 
•    CVE-2012-0116
 
•    CVE-2012-0118
 
•    CVE-2012-0496
 
•    CVE-2012-0087
 
•    CVE-2012-0101
 
•    CVE-2012-0102
 
•    CVE-2012-0115
 
•    CVE-2012-0119
 
•    CVE-2012-0120
 
•    CVE-2012-0484
 
•    CVE-2012-0485
 
•    CVE-2012-0486
 
•    CVE-2012-0487
 
•    CVE-2012-0488
 
•    CVE-2012-0489
 
•    CVE-2012-0490
 
•    CVE-2012-0491
 
•    CVE-2012-0495
 
•    CVE-2012-0112
 
•    CVE-2012-0117
 
•    CVE-2012-0114
 
•    CVE-2012-0492
 
•    CVE-2012-0493
 
•    CVE-2012-0075
 
•    CVE-2012-0494
 






Referències
 



Avís de seguretat d’actualització de pegats crítics d’Oracle (Gener 2012).
 
http://www.oracle.com/technetwork/topics/security/cpujan2012-366304.html

Publicat a: Avisos