Categories: SeguridadVirus

Grupo de parches de octubre para diversos productos Oracle

Las consecuencias son que atacantes locales y remotos pueden provocar denegaciones de servicio, ejecutar código arbitrario, tener acceso de escritura y lectura a datos sensibles, perpetrar ataques de inyección SQL y eludir restricciones de seguridad. Los fallos se dan en varios componentes de los productos.

La lista de productos afectados es la siguiente:

* Oracle Database 10g Release 2, versión 10.2.0.1, 10.2.0.2

* Oracle Database 10g Release 1, versiones 10.1.0.4, 10.1.0.5

* Oracle9i Database Release 2, versiones 9.2.0.6, 9.2.0.7

* Oracle8i Database Release 3, versión 8.1.7.4

* Oracle Application Express, versiones 1.5 – 2.0

* Oracle Application Server 10g Release 3, versiones 10.1.3.0.0

* Oracle Application Server 10g Release 2, versiones 10.1.2.0.0 – 10.1.2.0.2, 10.1.2.1.0

* Oracle Application Server 10g Release 1 (9.0.4), versiones 9.0.4.2, 9.0.4.3

* Oracle Collaboration Suite 10g Release 1, versiones 10.1.2.0

* Oracle9i Collaboration Suite Release 2, versión 9.0.4.2

* Oracle E-Business Suite Release 11i, versiones 11.5.7 – 11.5.10 CU2

* Oracle E-Business Suite Release 11.0

* Oracle Pharmaceutical Applications versiones 4.5.0 – 4.5.1

* Oracle PeopleSoft Enterprise People Tools, versiones 8.22, 8.46, 8.47, 8.48

* Oracle PeopleSoft Enterprise Portal Solutions, Enterprise Portal, versión 8.8, 8.9

* JD Edwards EnterpriseOne Tools, versiones 8.95, 8.96

* JD Edwards OneWorld Tools SP23

* Oracle9i Database Release 1, versiones 9.0.1.4

* Oracle9i Database Release 1, versiones 9.0.1.5, 9.0.1.5 FIPS

* Oracle9i Application Server Release 2, versiones 9.0.2.3, 9.0.3.1

* Oracle9i Application Server Release 1, versión 1.0.2.2

* Oracle Developer Suite, versiones 6i, 9.0.4.1, 9.0.4.2, 9.0.4.3, 10.1.2.0.2, 10.1.2.2

* Oracle Database 10g Release 1, versión 10.1.0.3

* Oracle9i Database Release 2, versión 9.2.0.5

* Oracle Application Server 10g Release 1 (9.0.4), versión 9.0.4.1

De las más de cien correcciones:

* 22 afectan a Oracle Database y todas requieren un usuario y contraseña válidos para poder ser aprovechadas.

* 6 afectan a Oracle HTTP Server, y 5 son aprovechables remotamente sin necesidad de autenticación.

* 35 afectan a Oracle Application Express, y 25 son aprovechables remotamente sin necesidad de autenticación.

* Las instalaciones cliente de Oracle Database no necesitan parches.

* 14 nuevos parches afectan a Oracle Application Server. 13 de las cuales son aprovechables de forma remota sin autenticación. 3 de ellas son aplicables a instalaciones cliente de Oracle Reports Developer y Oracle Containers para J2EE. 6 nuevos parches aprovechables de forma remota sin autenticación se aplican a productos Oracle Application Server que están soportados sólo para uso como parte de otros productos.

* No se han publicado nuevos parches específicos para Oracle Collaboration Suite, pero 12 vulnerabilidades de Oracle Aplication Server están incluidas en el código de Oracle Collaboration Suite y son aprovechables de forma remota sin necesidad de autenticación.

* 13 nuevos parches para Oracle E-Business Suite, uno es aprovechable de forma remota sin necesidad de autenticación. Oracle E-Business Suite incluye código de Oracle9i Application Server Release 1, versión 1.0.2.2. 8 de las vulnerabilidades de Oracle Application Server son aplicables a esta versión de código y 7 son aprovechables de forma remota sin necesidad de autenticación.

* Un nuevo parche para Oracle Pharmaceutical Applications.

* No hay parches para Oracle Enterprise Manager, pero incluye componentes de Oracle Database y Oracle Application Server que se ven afectados por vulnerabilidades anteriores.

* 8 nuevos parches para Oracle PeopleSoft Enterprise PeopleTools y Enterprise Portal Solutions, y uno nuevo parche para JD Edwards EnterpriseOne. Una vulnerabilidad de Oracle PeopleSoft Enterprise PeopleTools es aprovechable de forma remota sin necesidad de autenticación.

Para comprobar las matrices de productos afectados y la disponibilidad de parches, es necesario comprobar la notificación oficial:

* Oracle Critical Patch Update – Octubre 2006 http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2006.html

* Critical Patch Update – October 2006 Documentation Map http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=391560.1

Redacción Silicon

La redacción de Silicon está compuesta por profesionales del periodismo 2.0

Recent Posts

Comprender el valor de la modularidad, tarea pendiente de los directivos

Un estudio de IFS, Boom e IDC revela que solamente un 19 % de las…

7 horas ago

Un 67 % de los consumidores rechaza en España a aquellas empresas que no protegen sus datos

Para garantizar la privacidad, el 30 % se ha pasado a otra compañía durante el…

8 horas ago

Phishing personalizado, malware adaptable y otras tendencias de ciberseguridad para 2025

Check Point Software Technologies prevé que los avances en inteligencia artificial permitirán a pequeños grupos…

10 horas ago

2 de cada 10 españoles usan herramientas de IA como ChatGPT

El 7 % de los internautas recurre a estas aplicaciones de forma habitual y cerca…

10 horas ago

CISO, perfil tecnológico que recibirá la mayor subida salarial en 2025

Le siguen otros profesionales como el gerente de gobernanza, el gestor de datos y el…

11 horas ago

Las 6 profesiones tecnológicas con mayor futuro

Desde el ingeniero en inteligencia artificial al ingeniero de 'prompts', son varios los perfiles que…

1 día ago