Grupo de parches de enero para diversos productos Oracle
Oracle ha publicado un conjunto de 82 parches para diversos productos de la casa que solventan una larga lista de vulnerabilidades sobre las que apenas han dado detalles concretos.
La lista de productos afectados es la siguiente:
* Oracle Database 10g Release 2, versión 10.2.0.1
* Oracle Database 10g Release 1, versiones 10.1.0.3, 10.1.0.4, 10.1.0.5
* Oracle9i Database Release 2, versiones 9.2.0.6, 9.2.0.7
* Oracle8i Database Release 3, versión 8.1.7.4
* Oracle Enterprise Manager 10g Grid Control, versiones 10.1.0.3, 10.1.0.4
* Oracle Application Server 10g Release 2, versiones 10.1.2.0.0, 10.1.2.0.1, 10.1.2.0.2, 10.1.2.1.0
* Oracle Application Server 10g Release 1 (9.0.4), versiones 9.0.4.1, 9.0.4.2
* Oracle Collaboration Suite 10g Release 1, versiones 10.1.1, 10.1.2
* Oracle9i Collaboration Suite Release 2, versión 9.0.4.2
* Oracle E-Business Suite Release 11i, versiones 11.5.1 a 11.5.10 CU2
* Oracle E-Business Suite Release 11.0
* PeopleSoft Enterprise Portal, versiones 8.4, 8.8, 8.9
* JD Edwards EnterpriseOne Tools, OneWorld Tools, versiones 8.95.F1, SP23_L1
* Oracle Database 10g Release 1, versión 10.1.0.4.2
* Oracle Developer Suite, versiones 6i, 9.0.2.1, 9.0.4.1, 9.0.4.2, 10.1.2.0
* Oracle Workflow, versiones de la 11.5.1 a la 11.5.9.5
* Oracle9i Database Release 1, versiones 9.0.1.4, 9.0.1.5, 9.0.1.5 FIPS
* Oracle8 Database Release 8.0.6, versiones 8.0.6.3
* Oracle9i Application Server Release 1, versiones 1.0.2.2
En el anuncio oficial de la compañía, si se han dado detalles de tres vulnerabilidades que afectan sólo a clientes (no a máquinas con los servidores propiamente dichos):
* Una está localizada en una utilidad que puede ser forzada a que termine su ejecución, potencialmente permitiendo la ejecución remota de código arbitrario. La utilidad no se instala con privilegios setuid, por lo que el riesgo de que sea explotada de forma efectiva es bajo.
* Otro de los problemas permite a los clientes JDBC para conectarse a servidores OID configurados para rechazar conexiones anónimas
* Otro está relacionado con los pipes con nombre de Windows. La vulnerabilidad es sólo explotable si el atacante es capaz de crear un pipe con nombre que se use para comunicación con un servidor remoto de base de datos que también corra con Windows.
Para comprobar las matrices de productos afectados, comprobar la notificación oficial:
* Oracle Critical Patch Update – January 2006 http://www.oracle.com/technology/deploy/security/pdf/cpujan2006.html
* Critical Patch Update – January 2006 Documentation Map http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=343383.1
* Critical Patch Update – January 2006 FAQ
http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=343391.1