Dejando aparte lo inteligente o conveniente de dicha política para los administradores de sistemas afectados, ha sido fiel a dicho anuncio y ha publicado 23 avisos de vulnerabilidades que han sido detectadas en gran cantidad de productos de su compañía.
Si bien la mayor parte de las vulnerabilidades descubiertas permiten el acceso a información sensible y la manipulación de datos, otras permitirían también realizar ataques de inyección PL/SQL, denegación de servicio o escalada de privilegios.
La compañía aplica el adjetivo potencial a la mayor parte de las vulnerabilidades y especifica en gran cantidad de ellas requisitos como permisos de ejecución sobre determinados paquetes, o estar en una sesión válida.
En resumen, los componentes afectados (que no las vulnerabilidades individuales) serían los siguientes, con sus vulnerabilidades asociadas:
– Networking (DoS)
– LOB Access (AIS)
– Spatial (AIS, MdI, DoS)
– UTL_FILE (MdI)
– Diagnostic (AIS, MdI, DoS)
– XDB (AIS, MdI)
– Dataguard (AIS, MdI)
– Log Miner (AIS, MdI)
– OLAP (AIS, MdI)
– Data Mining (AIS, MdI)
– Advanced Queuing (AIS, MdI)
– Change Data Capture (AIS, MdI)
– Database Core (AIS, MdI)
– OHS (AIS, MdI)
– Report Server (AIS, MdI)
– Forms (DoS)
– mod_plsql (AIS, MdI)
– Calendar (AIS, MdI, DoS)
Adicionalmente, se han detectado también errores en Oracle E-Business Suite que podrían ser explotados para acceder a información sensible o manipularla.
Los acrónimos usados para simplificar la enumeración son los siguientes:
AIS: Acceso a información sensible
MdI: Manipulación de información
DoS: Denegación de servicio
Los productos afectados por estas vulnerabilidades serían los siguientes:
-Oracle8 Database Release 8.0.6 (versión 8.0.6.3)
-Oracle8i Database Server Release 3 (versión 8.1.7.4)
-Oracle9i Database Server Release 1 (versiones 9.0.1.4, 9.0.1.5 y 9.0.4)
-Oracle9i Database Server Release 2 (versiones 9.2.0.4, 9.2.0.5 y 9.2.0.6)
-Oracle9i Application Server Release 1 (versión 1.0.2.2)
-Oracle9i Application Server Release 2 (versiones 9.0.2.3 y 9.0.3.1)
-Oracle Database 10g Release 1 (versiones 10.1.0.2, 10.1.0.3 y 10.1.0.3.1)
-Oracle Application Server 10g (9.0.4, versiones 9.0.4.0 y 9.0.4.1)
-Oracle Application Server 10g Release 2 (10.1.2)
-Oracle Collaboration Suite Release 2 (version 9.0.4.2)
-Oracle E-Business Suite and Applications Release 11i (11.5)
-Oracle E-Business Suite and Applications Release 11.0
El enlace para acceder a las actualizaciones pertinentes según plataforma es el siguiente:
http://metalink.oracle.com/metalink/plsql/showdoc?db=NOT&id=293953.1
Tras esto, sólo recordar que las fechas programadas para repetir este tipo de publicación son 12 de abril, 12 de julio y 18 de octubre.
Además de fakes news, en internet encontramos múltiples formas de desinformación: clonación de medios de…
Sin las medidas de protección necesarias, un almacén puede convertirse en el eslabón más débil…
Adyen publica los resultados de su estudio "Estrategias para reducir el coste total de pagos",…
Del porcentaje global del 21 % se baja a un 18 % en el caso…
Entrevistamos a John Shier, CTO Field de Sophos, que hace repaso de las principales amenazas…
Desde fibratel comparten una serie de pautas para orientar la construcción de centros de datos…