Las consecuencias son que atacantes locales y remotos pueden provocar denegaciones de servicio, ejecutar código arbitrario, tener acceso de escritura y lectura a datos sensibles, perpetrar ataques de inyección SQL y eludir restricciones de seguridad. Los fallos se dan en varios componentes de los productos.
La lista de productos afectados es la siguiente:
* Oracle Database 10g Release 2, versión 10.2.0.1, 10.2.0.2
* Oracle Database 10g Release 1, versiones 10.1.0.4, 10.1.0.5
* Oracle9i Database Release 2, versiones 9.2.0.6, 9.2.0.7
* Oracle8i Database Release 3, versión 8.1.7.4
* Oracle Application Express, versiones 1.5 – 2.0
* Oracle Application Server 10g Release 3, versiones 10.1.3.0.0
* Oracle Application Server 10g Release 2, versiones 10.1.2.0.0 – 10.1.2.0.2, 10.1.2.1.0
* Oracle Application Server 10g Release 1 (9.0.4), versiones 9.0.4.2, 9.0.4.3
* Oracle Collaboration Suite 10g Release 1, versiones 10.1.2.0
* Oracle9i Collaboration Suite Release 2, versión 9.0.4.2
* Oracle E-Business Suite Release 11i, versiones 11.5.7 – 11.5.10 CU2
* Oracle E-Business Suite Release 11.0
* Oracle Pharmaceutical Applications versiones 4.5.0 – 4.5.1
* Oracle PeopleSoft Enterprise People Tools, versiones 8.22, 8.46, 8.47, 8.48
* Oracle PeopleSoft Enterprise Portal Solutions, Enterprise Portal, versión 8.8, 8.9
* JD Edwards EnterpriseOne Tools, versiones 8.95, 8.96
* JD Edwards OneWorld Tools SP23
* Oracle9i Database Release 1, versiones 9.0.1.4
* Oracle9i Database Release 1, versiones 9.0.1.5, 9.0.1.5 FIPS
* Oracle9i Application Server Release 2, versiones 9.0.2.3, 9.0.3.1
* Oracle9i Application Server Release 1, versión 1.0.2.2
* Oracle Developer Suite, versiones 6i, 9.0.4.1, 9.0.4.2, 9.0.4.3, 10.1.2.0.2, 10.1.2.2
* Oracle Database 10g Release 1, versión 10.1.0.3
* Oracle9i Database Release 2, versión 9.2.0.5
* Oracle Application Server 10g Release 1 (9.0.4), versión 9.0.4.1
De las más de cien correcciones:
* 22 afectan a Oracle Database y todas requieren un usuario y contraseña válidos para poder ser aprovechadas.
* 6 afectan a Oracle HTTP Server, y 5 son aprovechables remotamente sin necesidad de autenticación.
* 35 afectan a Oracle Application Express, y 25 son aprovechables remotamente sin necesidad de autenticación.
* Las instalaciones cliente de Oracle Database no necesitan parches.
* 14 nuevos parches afectan a Oracle Application Server. 13 de las cuales son aprovechables de forma remota sin autenticación. 3 de ellas son aplicables a instalaciones cliente de Oracle Reports Developer y Oracle Containers para J2EE. 6 nuevos parches aprovechables de forma remota sin autenticación se aplican a productos Oracle Application Server que están soportados sólo para uso como parte de otros productos.
* No se han publicado nuevos parches específicos para Oracle Collaboration Suite, pero 12 vulnerabilidades de Oracle Aplication Server están incluidas en el código de Oracle Collaboration Suite y son aprovechables de forma remota sin necesidad de autenticación.
* 13 nuevos parches para Oracle E-Business Suite, uno es aprovechable de forma remota sin necesidad de autenticación. Oracle E-Business Suite incluye código de Oracle9i Application Server Release 1, versión 1.0.2.2. 8 de las vulnerabilidades de Oracle Application Server son aplicables a esta versión de código y 7 son aprovechables de forma remota sin necesidad de autenticación.
* Un nuevo parche para Oracle Pharmaceutical Applications.
* No hay parches para Oracle Enterprise Manager, pero incluye componentes de Oracle Database y Oracle Application Server que se ven afectados por vulnerabilidades anteriores.
* 8 nuevos parches para Oracle PeopleSoft Enterprise PeopleTools y Enterprise Portal Solutions, y uno nuevo parche para JD Edwards EnterpriseOne. Una vulnerabilidad de Oracle PeopleSoft Enterprise PeopleTools es aprovechable de forma remota sin necesidad de autenticación.
Para comprobar las matrices de productos afectados y la disponibilidad de parches, es necesario comprobar la notificación oficial:
* Oracle Critical Patch Update – Octubre 2006 http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2006.html
* Critical Patch Update – October 2006 Documentation Map http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=391560.1
Un estudio de IFS, Boom e IDC revela que solamente un 19 % de las…
Para garantizar la privacidad, el 30 % se ha pasado a otra compañía durante el…
Check Point Software Technologies prevé que los avances en inteligencia artificial permitirán a pequeños grupos…
El 7 % de los internautas recurre a estas aplicaciones de forma habitual y cerca…
Le siguen otros profesionales como el gerente de gobernanza, el gestor de datos y el…
Desde el ingeniero en inteligencia artificial al ingeniero de 'prompts', son varios los perfiles que…