Avisos 24 de July, 2012

Actualització de Pegats Crítics de Oracle, Juliol 2012

Oracle ha publicat les seves actualitzacions trimestrals corresponents al mes de juliol, què inclouen 87 pegats per a diferents problemes de seguretat.

Impacte

Execució de codi arbitrari i denegació de servei. Compromís total de confidencialitat, integritat i disponibilitat de manera remota i sense necessitat d'autenticació.


Productes afectats
•    Oracle Database 11g Release 2, versions 11.2.0.2, 11.2.0.3
•    Oracle Database 11g Release 1, versió 11.1.0.7
•    Oracle Database 10g Release 2, versions 10.2.0.3, 10.2.0.4, 10.2.0.5
•    Oracle Secure Backup, versió 10.3.0.3, 10.4.0.1
•    Oracle Fusion Middleware 11g Release 2, versió 11.1.2.0
•    Oracle Fusion Middleware 11g Release 1, versions 11.1.1.5, 11.1.1.6
•    Oracle Application Server 10g Release 3, versió 10.1.3.5
•    Oracle Identity Management 10g, versió 10.1.4.3
•    Hyperion BI+, versió 11.1.1.x
•    Oracle JRockit versions, R28.2.3 i anteriors, R27.7.2 i anteriors
•    Oracle Map Viewer, versions 10.1.3.1, 11.1.1.5, 11.1.1.6
•    Oracle Outside In Technology, versions 8.3.5, 8.3.7
•    Enterprise Manager Plugin for Database 12c Release 1, versions 12.1.0.1, 12.1.0.2
•    Enterprise Manager Grid Control 11g Release 1, versió 11.1.0.1
•    Enterprise Manager Grid Control 10g Release 1, versió 10.2.0.5
•    Oracle E-Business Suite Release 12, versions 12.0.4, 12.0.6, 12.1.1, 12.1.2, 12.1.3
•    Oracle E-Business Suite Release 11i, versió 11.5.10.2
•    Oracle Transportation Management, versions 5.5.06, 6.0, 6.1, 6.2
•    Oracle AutoVue, versions 20.0.2, 20.1
•    Oracle PeopleSoft Enterprise HRMS, versions 9.0, 9.1
•    Oracle PeopleSoft Enterprise PeopleTools, versions 8.50, 8.51, 8.52
•    Oracle Siebel CRM, versions 8.1.1, 8.2.2
•    Oracle Clinical Remote Data Capture Option, versions 4.6, 4.6.2, 4.6.3
•    Oracle Sun Product Suite
•    Oracle MySQL Server, versions 5.1, 5.5


Solució
Consultar els enllaços de la "Taula de disponibilitat de pegats" a l'avís de seguretat d'Oracle (veure referències). Recordem que aquest accés requereix un compte vàlid de suport Oracle.


Detall
7 vulnerabilitats afecten al servidor de base de dades d'Oracle, amb un CVSS Base màxim de 7,8. Aquest màxim correspon al component Oracle Application Express Listener per plataformes Windows, i també per una altra vulnerabilitat al Oracle Secure Backup.
23 vulnerabilitats afecten al producte Oracle Fusion Middleware, amb un CVSS Base màxim de 10 per la vulnerabilitat CVE-2012-3135. Aquest identificador inclou actualitzacions pel producte JRockit, per solucionar les vulnerabilitats de Java reportades al juny, considerades crítiques per permetre l'execució remota de codi sense autenticació.
6 vulnerabilitats que afecten a Oracle MySQL, amb un CVSS Base màxim de 6,8. Totes elles necessiten un compte d'usuari vàlid per poder ser explotades.
24 vulnerabilitats afecten als productes Oracle Sun (Solaris, GlassFish, iPlanet Web Server, servidors SPARC T-Series), amb un CVSS Base màxim de 7,8. Setze d'elles es poden explotar remotament sense necessitat d'autenticació.
A més, les actualitzacions inclouen solucions per a les següents vulnerabilitats: 1 per a Oracle Enterprise Manager Grid Control, 4 per a Oracle E-Business Suite, 5 per a Oracle Supply Chain Products Suite, 9 per a Oracle PeopleSoft Enterprise, 7 per a Siebel Clinical Trial Management System, i 1 per a Oracle Industry Applications.
Llistat de vulnerabilitats corregides:
•    CVE-2012-1745
•    CVE-2012-1746
•    CVE-2012-1747
•    CVE-2012-3134
•    CVE-2012-1740
•    CVE-2011-3192
•    CVE-2011-4885
•    CVE-2011-3368
•    CVE-2011-3562
•    CVE-2011-4317
•    CVE-2012-1736
•    CVE-2012-1741
•    CVE-2012-1744
•    CVE-2012-1749
•    CVE-2012-1766
•    CVE-2012-1767
•    CVE-2012-1768
•    CVE-2012-1769
•    CVE-2012-1770
•    CVE-2012-1771
•    CVE-2012-1772
•    CVE-2012-1773
•    CVE-2012-3106
•    CVE-2012-3107
•    CVE-2012-3108
•    CVE-2012-3109
•    CVE-2012-3110
•    CVE-2012-3115
•    CVE-2012-3135
•    CVE-2012-1729
•    CVE-2012-1737
•    CVE-2012-1715
•    CVE-2012-1727
•    CVE-2012-1730
•    CVE-2012-1739
•    CVE-2012-1758
•    CVE-2012-1759
•    CVE-2012-3114
•    CVE-2012-3116
•    CVE-2012-3117
•    CVE-2012-1733
•    CVE-2012-1748
•    CVE-2012-1753
•    CVE-2012-1762
•    CVE-2012-1764
•    CVE-2012-3111
•    CVE-2012-3113
•    CVE-2012-3118
•    CVE-2012-3119
•    CVE-2012-1728
•    CVE-2012-1731
•    CVE-2012-1732
•    CVE-2012-1742
•    CVE-2012-1754
•    CVE-2012-1760
•    CVE-2012-1761
•    CVE-2012-1743
•    CVE-2001-0323
•    CVE-2008-4609
•    CVE-2011-0419
•    CVE-2011-2699
•    CVE-2011-4358
•    CVE-2012-0563
•    CVE-2012-1687
•    CVE-2012-1738
•    CVE-2012-1750
•    CVE-2012-1752
•    CVE-2012-1765
•    CVE-2012-3112
•    CVE-2012-3120
•    CVE-2012-3121
•    CVE-2012-3122
•    CVE-2012-3123
•    CVE-2012-3124
•    CVE-2012-3125
•    CVE-2012-3126
•    CVE-2012-3127
•    CVE-2012-3128
•    CVE-2012-3129
•    CVE-2012-3130
•    CVE-2012-3131
•    CVE-2012-0540
•    CVE-2012-1689
•    CVE-2012-1734
•    CVE-2012-1735
•    CVE-2012-1756
•    CVE-2012-1757


Referències
•    Avís de seguretat d'Actualització de Pegats Crítics d’Oracle (Juliol 2012).
http://www.oracle.com/technetwork/topics/security/cpujul2012-392727.html
 

Publicat a: Avisos