Grupo de parches de octubre para diversos productos Oracle

Las consecuencias son que atacantes locales y remotos pueden provocar denegaciones de servicio, ejecutar código arbitrario, tener acceso de escritura y lectura a datos sensibles, perpetrar ataques de inyección SQL y eludir restricciones de seguridad. Los fallos se dan en varios componentes de los productos.

La lista de productos afectados es la siguiente:

* Oracle Database 10g Release 2, versión 10.2.0.1, 10.2.0.2

* Oracle Database 10g Release 1, versiones 10.1.0.4, 10.1.0.5

* Oracle9i Database Release 2, versiones 9.2.0.6, 9.2.0.7

* Oracle8i Database Release 3, versión 8.1.7.4

* Oracle Application Express, versiones 1.5 – 2.0

* Oracle Application Server 10g Release 3, versiones 10.1.3.0.0

* Oracle Application Server 10g Release 2, versiones 10.1.2.0.0 – 10.1.2.0.2, 10.1.2.1.0

* Oracle Application Server 10g Release 1 (9.0.4), versiones 9.0.4.2, 9.0.4.3

* Oracle Collaboration Suite 10g Release 1, versiones 10.1.2.0

* Oracle9i Collaboration Suite Release 2, versión 9.0.4.2

* Oracle E-Business Suite Release 11i, versiones 11.5.7 – 11.5.10 CU2

* Oracle E-Business Suite Release 11.0

* Oracle Pharmaceutical Applications versiones 4.5.0 – 4.5.1

* Oracle PeopleSoft Enterprise People Tools, versiones 8.22, 8.46, 8.47, 8.48

* Oracle PeopleSoft Enterprise Portal Solutions, Enterprise Portal, versión 8.8, 8.9

* JD Edwards EnterpriseOne Tools, versiones 8.95, 8.96

* JD Edwards OneWorld Tools SP23

* Oracle9i Database Release 1, versiones 9.0.1.4

* Oracle9i Database Release 1, versiones 9.0.1.5, 9.0.1.5 FIPS

* Oracle9i Application Server Release 2, versiones 9.0.2.3, 9.0.3.1

* Oracle9i Application Server Release 1, versión 1.0.2.2

* Oracle Developer Suite, versiones 6i, 9.0.4.1, 9.0.4.2, 9.0.4.3, 10.1.2.0.2, 10.1.2.2

* Oracle Database 10g Release 1, versión 10.1.0.3

* Oracle9i Database Release 2, versión 9.2.0.5

* Oracle Application Server 10g Release 1 (9.0.4), versión 9.0.4.1

De las más de cien correcciones:

* 22 afectan a Oracle Database y todas requieren un usuario y contraseña válidos para poder ser aprovechadas.

* 6 afectan a Oracle HTTP Server, y 5 son aprovechables remotamente sin necesidad de autenticación.

* 35 afectan a Oracle Application Express, y 25 son aprovechables remotamente sin necesidad de autenticación.

* Las instalaciones cliente de Oracle Database no necesitan parches.

* 14 nuevos parches afectan a Oracle Application Server. 13 de las cuales son aprovechables de forma remota sin autenticación. 3 de ellas son aplicables a instalaciones cliente de Oracle Reports Developer y Oracle Containers para J2EE. 6 nuevos parches aprovechables de forma remota sin autenticación se aplican a productos Oracle Application Server que están soportados sólo para uso como parte de otros productos.

* No se han publicado nuevos parches específicos para Oracle Collaboration Suite, pero 12 vulnerabilidades de Oracle Aplication Server están incluidas en el código de Oracle Collaboration Suite y son aprovechables de forma remota sin necesidad de autenticación.

* 13 nuevos parches para Oracle E-Business Suite, uno es aprovechable de forma remota sin necesidad de autenticación. Oracle E-Business Suite incluye código de Oracle9i Application Server Release 1, versión 1.0.2.2. 8 de las vulnerabilidades de Oracle Application Server son aplicables a esta versión de código y 7 son aprovechables de forma remota sin necesidad de autenticación.

* Un nuevo parche para Oracle Pharmaceutical Applications.

* No hay parches para Oracle Enterprise Manager, pero incluye componentes de Oracle Database y Oracle Application Server que se ven afectados por vulnerabilidades anteriores.

* 8 nuevos parches para Oracle PeopleSoft Enterprise PeopleTools y Enterprise Portal Solutions, y uno nuevo parche para JD Edwards EnterpriseOne. Una vulnerabilidad de Oracle PeopleSoft Enterprise PeopleTools es aprovechable de forma remota sin necesidad de autenticación.

Para comprobar las matrices de productos afectados y la disponibilidad de parches, es necesario comprobar la notificación oficial:

* Oracle Critical Patch Update – Octubre 2006 http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2006.html

* Critical Patch Update – October 2006 Documentation Map http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=391560.1