Avisos 17 de October, 2012

Actualització de pegats crítics d'Oracle i Java SE, Octubre 2012

Oracle ha publicat les seves actualitzacions trimestrals corresponents al mes d'Octubre, què inclouen 109 pegats de seguretat. A més a més, també s'ha publicat l'actualització quadrimestral de Java SE, que soluciona 30 vulnerabilitats, 29 d'elles considerades com a crítiques.

 

Impacte
 
Execució de codi arbitrari i denegació de servei. Compromís total de confidencialitat, integritat i disponibilitat de manera remota i sense necessitat d'autenticació.
 
Productes afectats
 
JDK, JRE 7 Update 7 i anteriors
JDK, JRE 6 Update 35 i anteriors
JDK , JRE 5.0 Update 36 i anteriors
SDK, JRE 1.4.2_38 i anteriors
JavaFX 2.2 i anteriors
Oracle Database 11g Release 2, versions 11.2.0.2, 11.2.0.3
Oracle Database 11g Release 1, versió 11.1.0.7
Oracle Database 10g Release 2, versions 10.2.0.3, 10.2.0.4, 10.2.0.5
Oracle Fusion Middleware 11g Release 1, versió 11.1.1.6
Oracle Forms and Reports 11g, Release 2, versió 11.1.2.0
Oracle Forms and Reports 11g Release 1, versió 11.1.1.4
Oracle BI Publisher, versions 10.1.3.4.2, 11.1.1.5.0, 11.1.1.6.0, 11.1.1.6.2
Oracle Event Processing, versions 2.0, 11.1.1.4.0, 11.1.1.6.0
Oracle Identity Management 10g, versió 10.1.4.3
Oracle Imaging and Process Management, versió 10.1.3.6.0
Oracle JRockit versions, R28.2.4 i anteriors, R27.7.3 i anteriors
Oracle Outside In Technology, versió 8.3.7
Oracle WebLogic Server, versions 9.2.4.0, 10.0.2.0, 10.3.5.0, 10.3.6.0, 12.1.1.0
Oracle WebCenter Sites, versions 6.1, 6.2, 6.3.x, 7, 7.0.1, 7.0.2, 7.0.3, 7.5, 7.6.1, 7.6.2, 11.1.1.6.0
Oracle E-Business Suite Release 12, versions 12.0.6, 12.1.1, 12.1.2, 12.1.3
Oracle E-Business Suite Release 11i, versió 11.5.10.2
Oracle Agile PLM For Process, versions 5.2.2, 6.0.0.6.3, 6.1.0.0, 6.1.0.1.14
Oracle Agile PLM Framework, versions 9.3.1.0, 9.3.1.1
Oracle Agile Product Supplier Collaboration for Process, versions 5.2.2, 6.1.0.0
Oracle PeopleSoft Enterprise Campus Solutions, versió 9.0
Oracle PeopleSoft Enterprise PeopleTools, versions 8.50, 8.51, 8.52
Oracle Siebel UI Framework, versió 8.1.1
Oracle Central Designer, versions 1.3, 1.4, 1.4.2
Oracle Clinical/Remote Data Capture, versions 4.6.0, 4.6.2
Oracle FLEXCUBE Direct Banking, versions 5.0.2, 5.0.5, 5.1.0, 5.2.0, 5.3.0-5.3.4, 6.0.1, 6.2.0, 12
Oracle FLEXCUBE Universal Banking, versions 10.0.0-10.5.0, 11.0.0-11.4.0, 12
Oracle Sun Product Suite
Oracle Secure Global Desktop, versió 4.6
Oracle VM Virtual Box, versions 3.2, 4.0, 4.1
Oracle MySQL Server, versions 5.1.63 i anteriors, 5.5.25 i anteriors
 
Solució
 
Oracle Java SE, la notificació d'actualització apareixerà automàticament, si l'opció corresponent està habilitada (molt recomanable). Per activar aquesta opció, cal accedir a Tauler de Control>Java>Pestanya "Actualitzacions">Avançada, on també és possible executar la comprovació d'actualització manualment.
Apple Mac OS X, aplicar l’actualització mitjançant Apple Software Update, o descarregant la nova versió des de la pàgina oficial d’Apple.
Com que els complements Java desactualitzats són una de les vies d'explotació i infecció més utilitzades, CESICAT recomana reduir el període de comprovació d'actualitzacions predeterminat (un cop al mes) a un període més curt, per exemple diàriament.
Per la resta de productes Oracle, consultar els enllaços de la "Taula de disponibilitat de pegats" a l'avís de seguretat d'Oracle (veure referències). Recordem que aquest accés requereix un compte vàlid de suport Oracle.
 
Detall
 
30 vulnerabilitats afecten a Oracle Java SE, amb un CVSS Base màxim de 10,0. 29 d'elles poden ser explotades per un atacant remot sense necessitat d'autenticació.
26 vulnerabilitats afecten al producte Oracle Fusion Middleware, amb un CVSS Base màxim de 10,0 per la vulnerabilitat CVE-2012-3202. Aquest identificador inclou actualitzacions pel producte JRockit, per solucionar les vulnerabilitats de Java reportades al juny, considerades crítiques per permetre l'execució remota de codi sense autenticació.
18 vulnerabilitats afecten als productes Oracle Sun (Solaris, GlassFish, iPlanet Web Server, servidors SPARC T-Series), amb un CVSS Base màxim de 7,8. Tres d'elles es poden explotar remotament sense necessitat d'autenticació.
14 vulnerabilitats que afecten a Oracle MySQL, amb un CVSS Base màxim de 9,0. Dues d'elles poden ser explotades de forma remota sense necessitat d'autenticació.
5 vulnerabilitats afecten al producte Oracle Database Server, amb un CVSS Base màxim de 10,0 per la vulnerabilitat CVE-2012-3137, que permetre a un atacant remot sense necessitat d'autenticació prendre el control del sistema operatiu i executar codi arbitrari.
A més, les actualitzacions inclouen solucions per a les següents vulnerabilitats: 1 per a Oracle Enterprise Manager Grid Control, 6 per a Oracle E-Business Suite, 9 per a Oracle Supply Chain Products Suite, 9 per a Oracle PeopleSoft Enterprise, 2 per a Siebel CRM, 2 per a Oracle Industry Applications, 13 per a Oracle Financial Services Software, i 2 per a productes Oracle Virtualization.
 
Llistat de vulnerabilitats corregides per a Java SE:
CVE-2012-1531
CVE-2012-1532
CVE-2012-1533
CVE-2012-3143
CVE-2012-3159
CVE-2012-3216
CVE-2012-4416
CVE-2012-5067
CVE-2012-5068
CVE-2012-5069
CVE-2012-5070
CVE-2012-5071
CVE-2012-5072
CVE-2012-5073
CVE-2012-5074
CVE-2012-5075
CVE-2012-5076
CVE-2012-5077
CVE-2012-5078
CVE-2012-5079
CVE-2012-5080
CVE-2012-5081
CVE-2012-5082
CVE-2012-5083
CVE-2012-5084
CVE-2012-5085
CVE-2012-5086
CVE-2012-5087
CVE-2012-5088
CVE-2012-5089
Per altres productes Oracle:
CVE-2012-1751
CVE-2012-3132
CVE-2012-3137
CVE-2012-3146
CVE-2012-3151
CVE-2011-1411
CVE-2012-0071
CVE-2012-0086
CVE-2012-0090
CVE-2012-0092
CVE-2012-0093
CVE-2012-0095
CVE-2012-0106
CVE-2012-0107
CVE-2012-0108
CVE-2012-0518
CVE-2012-1686
CVE-2012-3152
CVE-2012-3153
CVE-2012-3175
CVE-2012-3183
CVE-2012-3184
CVE-2012-3185
CVE-2012-3186
CVE-2012-3193
CVE-2012-3194
CVE-2012-3202
CVE-2012-3214
CVE-2012-3217
CVE-2012-5065
CVE-2012-3138
CVE-2012-3139
CVE-2012-3148
CVE-2012-3162
CVE-2012-3164
CVE-2012-3171
CVE-2012-3196
CVE-2012-3222
CVE-2012-5058
CVE-2012-3140
CVE-2012-3154
CVE-2012-3161
CVE-2012-3200
CVE-2012-5090
CVE-2012-5091
CVE-2012-5092
CVE-2012-5093
CVE-2012-5094
CVE-2012-3176
CVE-2012-3179
CVE-2012-3181
CVE-2012-3182
CVE-2012-3188
CVE-2012-3191
CVE-2012-3195
CVE-2012-3198
CVE-2012-3201
CVE-2012-3229
CVE-2012-3230
CVE-2012-1763
CVE-2012-5066
CVE-2012-3141
CVE-2012-3142
CVE-2012-3145
CVE-2012-3157
CVE-2012-3223
CVE-2012-3224
CVE-2012-3225
CVE-2012-3226
CVE-2012-3227
CVE-2012-3228
CVE-2012-5061
CVE-2012-5063
CVE-2012-5064
CVE-2012-0217
CVE-2012-3155
CVE-2012-3165
CVE-2012-3187
CVE-2012-3189
CVE-2012-3199
CVE-2012-3203
CVE-2012-3204
CVE-2012-3205
CVE-2012-3206
CVE-2012-3207
CVE-2012-3208
CVE-2012-3209
CVE-2012-3210
CVE-2012-3211
CVE-2012-3212
CVE-2012-3215
CVE-2012-5095
CVE-2012-1685
CVE-2012-3221
CVE-2012-3144
CVE-2012-3147
CVE-2012-3149
CVE-2012-3150
CVE-2012-3156
CVE-2012-3158
CVE-2012-3160
CVE-2012-3163
CVE-2012-3166
CVE-2012-3167
CVE-2012-3173
CVE-2012-3177
CVE-2012-3180
CVE-2012-3197
 
Referències
 
Avís de seguretat d'Actualització de Pegats Crítics d’Oracle (Octubre 2012).
http://www.oracle.com/technetwork/topics/security/cpuoct2012-1515893.html
Avís de seguretat d'Actualització de Pegats Crítics d’Oracle Java SE (Octubre 2012).
http://www.oracle.com/technetwork/topics/security/javacpuoct2012-1515924.html
 
Publicat a: Avisos