Avisos 16 de October, 2013

Actualització de pegats crítics d'Oracle (octubre 2013)

Oracle ha publicat les seves actualitzacions trimestrals corresponents al mes d'octubre de 2013, què solucionen 127 vulnerabilitats (51 de Java), algunes d'elles considerades crítiques.

Impacte
 
Execució de codi arbitrari i denegació de servei. Compromís total de confidencialitat, integritat i disponibilitat de manera remota i sense necessitat d'autenticació.
 
Productes afectats
 
Oracle Database 11g Release 1, versió 11.1.0.7
Oracle Database 11g Release 2, versions 11.2.0.2, 11.2.0.3
Oracle Database 12c Release 1, versió 12.1.0.1
Oracle Fusion Middleware 11g Release 1, versions 11.1.1.6, 11.1.1.7
Oracle Access Manager, versions 11.1.1.5.0, 11.1.2.0.0
Oracle Forms and Reports 11g, Release 2, versió 11.1.2.1
Oracle GlassFish Server, versions 2.1.1, 3.0.1, 3.1.2
Oracle HTTP Server 12c, versió 12.1.2
Oracle Identity Analytics, versió 11.1.1.5; Sun Role Manager, versions 4.1, 5.0
Oracle Identity Manager, versions 11.1.2.0.0, 11.1.2.1.0
Oracle JDeveloper, versions 11.1.2.3.0, 11.1.2.4.0, 12.1.2.0.0
Oracle Outside In Technology, versions 8.4.0, 8.4.1
Oracle Portal, versió 11.1.1.6.0
Oracle Web Cache, versions 11.1.1.6, 11.1.1.7
Oracle WebCenter Content, versions 10.1.3.5.1, 11.1.1.6.0, 11.1.1.7.0, 11.1.1.8.0
Oracle WebLogic Server, versions 10.3.6.0, 12.1.1.0
Oracle Web Services, versions 10.1.3.5, 11.1.1.6.0
Oracle Enterprise Manager Grid Control 10g Release 1, versió 10.2.0.5
Oracle Enterprise Manager Grid Control 11g Release 1, versió 11.1.0.1
Oracle Enterprise Manager Plugin for Database 12c Release 1, versions 12.1.0.2, 12.1.0.3, 12.1.0.4
Oracle E-Business Suite Release 12i, versió 12.1
Oracle Agile PLM Framework, versió 9.3.2
Oracle Transportation Management, versions 6.2, 6.3, 6.3.1, 6.3.2
Oracle PeopleSoft HRMS, versió 9.1
Oracle PeopleSoft HRMS eCompensation, versions 9.1, 9.2
Oracle PeopleSoft PeopleTools, versions 8.51, 8.52, 8.53
Oracle Siebel Core, versions 8.1.1, 8.2.2
Oracle Siebel Server Remote, versions 8.1.1, 8.2.2
Oracle Siebel UI Framework, versions 8.1.1, 8.2.2
Oracle iLearning, versions 5.2.1, 6.0
Oracle Health Sciences InForm, versions 4.5.x, 4.6.x, 5.0.x, 5.5.x and 6.0.0
Oracle Siebel CTMS, versió 8.1.1.x
Oracle Retail Invoice Matching, versions 10.2, 11.0, 12.0, 12.0IN, 12.1, 13.0, 13.1, 13.2
Oracle FLEXCUBE Private Banking, versions 1.7, 2.0, 2.0.1, 2.2.0.1, 3.0, 12.0.1
Oracle Instantis EnterpriseTrack, versions 8.0.6, 8.5
Oracle Primavera P6 Enterprise Project Portfolio Management, versions 8.1, 8.2, 8.3
Oracle JavaFX, versions 2.2.40 i anteriors
Oracle Java JDK and JRE, versions 5.0u51 i anteriors, 6u60 i anteriors, 7u40 i anteriors
Oracle Java SE Embedded, versions 7u40 i anteriors
Oracle JRockit, versions R27.7.6 i anteriors, R28.2.8 i anteriors
Oracle Solaris versions 10, 11.1
Oracle SPARC Enterprise T series and M Series Servers Firmware versions anteriors a 6.7.13, 7.4.6.c, 8.3.0.b, 9.0.0.d, 9.0.1.e
Oracle Sun Blade 6000 10GBE switched NEM 1.2, Sun Network 10GBE Switch 72P 1.2, Oracle Switch ES1-24 1.3
Oracle Secure Global Desktop, versió 5
Oracle VM VirtualBox, versions anteriors a 3.2.18, 4.0.20, 4.1.28, 4.2.18
Oracle MySQL Server, versions 5.1, 5.5, 5.6
Oracle MySQL Enterprise Monitor, versió 2.3
 
Solució
 
En el cas de Java, la notificació d'actualització apareixerà automàticament, si la opció corresponent està habilitada (molt recomanable). Per activar aquesta opció, cal accedir a Tauler de Control>Java>Pestanya "Actualitzacions">Avançada, on també és possible executar la comprovació d'actualització manualment.
 
Degut a que els complements Java desactualitzats són una de les vies d'explotació i infecció més utilitzades, CESICAT recomana reduir el període de comprovació d'actualitzacions predeterminat (un cop al mes) a un període més curt, per exemple diàriament.
 
Per la resta de productes Oracle, consultar els enllaços de la "Taula de disponibilitat de pegats" a l'avís de seguretat d'Oracle (http://www.oracle.com/technetwork/topics/security/cpuoct2013-1899837.html#PIN). Recordem que aquest accés requereix un compte vàlid de suport Oracle.
 
Detall
 
Oracle Java
51 vulnerabilitats (amb un CVSS Base màxim de 10,0), de les quals 50 poden ser explotades per un atacant remot sense autenticar: 
      o CVE-2013-3829
      o CVE-2013-4002
      o CVE-2013-5772
      o CVE-2013-5774
      o CVE-2013-5775
      o CVE-2013-5776
      o CVE-2013-5777
      o CVE-2013-5778
      o CVE-2013-5780
      o CVE-2013-5782
      o CVE-2013-5783
      o CVE-2013-5784
      o CVE-2013-5787
      o CVE-2013-5788
      o CVE-2013-5789
      o CVE-2013-5790
      o CVE-2013-5797
      o CVE-2013-5800
      o CVE-2013-5801
      o CVE-2013-5802
      o CVE-2013-5803
      o CVE-2013-5804
      o CVE-2013-5805
      o CVE-2013-5806
      o CVE-2013-5809
      o CVE-2013-5810
      o CVE-2013-5812
      o CVE-2013-5814
      o CVE-2013-5817
      o CVE-2013-5818
      o CVE-2013-5819
      o CVE-2013-5820
      o CVE-2013-5823
      o CVE-2013-5824
      o CVE-2013-5825
      o CVE-2013-5829
      o CVE-2013-5830
      o CVE-2013-5831
      o CVE-2013-5832
      o CVE-2013-5838
      o CVE-2013-5840
      o CVE-2013-5842
      o CVE-2013-5843
      o CVE-2013-5844
      o CVE-2013-5846
      o CVE-2013-5848
      o CVE-2013-5849
      o CVE-2013-5850
      o CVE-2013-5851
      o CVE-2013-5852
      o CVE-2013-5854
Oracle Database: 4 vulnerabilitats que poden ser explotades per un atacant remot sense autenticar (CVE-2013-5771, CVE-2013-3826, CVE-2011-3389, CVE-2013-0169)
Oracle Fusion Middleware: 17 vulnerabilitats, de les quals 12 poden ser explotades per un atacant remot sense autenticar (CVE-2011-3389, CVE-2013-0169CVE-2013-2172, CVE-2013-3624, CVE-2013-3827, CVE-2013-3827, CVE-2013-3827, CVE-2013-3828, CVE-2013-3831, CVE-2013-3833, CVE-2013-3836, CVE-2013-5773, CVE-2013-5791, CVE-2013-5798, CVE-2013-5813, CVE-2013-5815, CVE-2013-5816)
Oracle Enterprise Manager: 4 vulnerabilitats que poden ser explotades per un atacant remot sense autenticar (CVE-2013-3762, CVE-2013-5766, CVE-2013-5827, CVE-2013-5828)
Oracle Applications - E-Business Suite: una vulnerabilitat que pot ser explotada per un atacant remot sense autenticar (CVE-2013-5792)
Oracle Applications - Oracle Supply Chain, PeopleSoft Enterprise, Siebel and iLearning Products Suite: 20 vulnerabilitats, de les quals 14 poden ser explotades per un atacant remot sense autenticar 
      o Supply Chain: CVE-2013-5826, CVE-2013-5799
      o PeopleSoft Enterprise: CVE-2013-3785, CVE-2013-3835, CVE-2013-5765, CVE-2013-5779, CVE-2013-5794, CVE-2013-5841, CVE-2013-5847
      o Siebel: CVE-2013-3832, CVE-2013-3840, CVE-2013-3841, CVE-2013-5761, CVE-2013-5768, CVE-2013-5769, CVE-2013-5796, CVE-2013-5835, CVE-2013-5867
      o iLearning: CVE-2013-5822, CVE-2013-5845
Oracle FLEXCUBE Products Suite: una vulnerabilitat no explotable per un atacant remot sense autenticar (CVE-2013-2251)
Oracle Health Sciences Products Suite, Oracle Retail Products Suite: 6 vulnerabilitats no explotables per un atacant remot sense autenticar (CVE-2013-3814, CVE-2013-5762, CVE-2013-5811, CVE-2013-5837, CVE-2013-5856, CVE-2013-5857)
Oracle Primavera Products Suite: 2 vulnerabilitats, una de les quals pot ser explotada per un atacant remot sense autenticar (CVE-2013-5859, CVE-2013-3766)
Oracle and Sun Systems Products Suite: 12 vulnerabilitats, de les quals 5 poden ser explotades per un atacant remot sense autenticar (CVE-2013-0149, CVE-2013-3837, CVE-2013-3838, CVE-2013-3842, CVE-2013-5781, CVE-2013-5839, CVE-2013-5861, CVE-2013-5862, CVE-2013-5863, CVE-2013-5864, CVE-2013-5865, CVE-2013-5866)
Oracle Linux and Virtualization Products: 2 vulnerabilitats, una de les quals pot ser explotada per un atacant remot sense autenticar (CVE-2013-3834, CVE-2013-3792)
Oracle MySQL: 8 vulnerabilitats no explotables per un atacant remot sense autenticar CVE-2012-2750, CVE-2013-2251, CVE-2013-3839, CVE-2013-5767, CVE-2013-5770, CVE-2013-5786, CVE-2013-5793, CVE-2013-5807
 
Referències
 
Avís de seguretat d'Actualització de Pegats Crítics d’Oracle (octubre 2013)
Publicat a: Avisos