Grupo de parches de enero para diversos productos Oracle

Las consecuencias son que atacantes locales y remotos pueden provocar denegaciones de servicio, ejecutar código arbitrario, tener acceso de escritura y lectura a datos sensibles, perpetrar ataques de inyección SQL y eludir restricciones de seguridad. Los fallos se dan en varios componentes de los productos.

La lista de productos afectados es la siguiente:

* Oracle Database 10g Release 2, versiones 10.2.0.1, 10.2.0.2, 10.2.0.3

* Oracle Database 10g Release 1, versiones 10.1.0.3, 10.1.0.4, 10.1.0.5

* Oracle9i Database Release 2, versiones 9.2.0.5, 9.2.0.6, 9.2.0.7, 9.2.0.8

* Oracle9i Database Release 1, versiones 9.0.1.4, 9.0.1.5, 9.0.1.5 FIPS

* Oracle8i Database Release 3, versión 8.1.7.4

* Oracle Identity Management 10g, versión 10.1.4.0.1

* Oracle Application Server 10g Release 3, versiones 10.1.3.0.0, 10.1.3.1.0

* Oracle Application Server 10g Release 2, versiones 10.1.2.0.0 – 10.1.2.0.2, 10.1.2.1.0, 10.1.2.2.0

* Oracle Application Server 10g, versiones 9.0.4.1, 9.0.4.2, 9.0.4.3

* Oracle9i Application Server Release 2, versión 9.0.2.3

* Oracle9i Application Server Release 1, versión 1.0.2.2

* Oracle Enterprise Manager 10g Grid Control Release 2, versión 10.2.0.1

* Oracle Enterprise Manager 10g Grid Control Release 1, versiones 10.1.0.3, 10.1.0.4, 10.1.0.5

* Oracle E-Business Suite Release 11i, versiones 11.5.7 – 11.5.10 CU2

* Oracle E-Business Suite Release 11.0

* Oracle PeopleSoft Enterprise PeopleTools versiones 8.22, 8.47, 8.48

* Oracle Developer Suite, versiones 6i, 9.0.4.3, 10.1.2.0.2

De las más de 50 correcciones:

* 17 afectan a Oracle Database y 1 de ellas no requiere un usuario y contraseña válidos para poder ser aprovechadas.

* 9 afectan a Oracle HTTP Server, 8 de las cuales son aprovechables de forma remota sin necesidad de autenticación.

* 12 afectan a Oracle HTTP Server, y 8 son aprovechables remotamente sin necesidad de autenticación.

* 14 vulnerabilidades de Oracle Application Server están incluidas en componentes de Oracle Collaboration Suite, once de ellas son aprovechables de forma remota sin necesidad de autenticación.

* 7 parches en Oracle E-Business Suite y Applications. Ninguna de ellas es aprovechable de forma remota sin autenticación.

* 6 nuevos parches para Oracle Enterprise Manager, 5 son aprovechables de forma remota sin autenticación.

* 3 nuevos parches para Oracle PeopleSoft Enterprise. 1 es aprovechable de forma remota sin autenticación.

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial:

* Oracle Critical Patch Update – January 2007 http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2007.html

* Critical Patch Update – January 2007 Documentation Map

http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=405814.1