Parches de actualización para 85 vulnerabilidades en productos Oracle
Oracle ha publicado una serie de parches para solventar 85 vulnerabilidades detectadas en una larga lista de productos de la compañía.
Varias de ellas tienen impacto desconocido, y otras pueden ser explotadas para realizar ataques de inyección PL/SQL, cross site scripting, e incluso compromiso de sistemas afectados.
La lista detallada de productos y versiones afectadas por al menos una de las vulnerabilidades es la siguiente:
* Oracle Database Server 10g Release 1, versiones 10.1.0.3, 10.1.0.4
* Oracle9i Database Server Release 2, versiones 9.2.0.5, 9.2.0.6, 9.2.0.7
* Oracle8i Database Server Release 3, versión 8.1.7.4
* Oracle Enterprise Manager 10g Grid Control, versiones 10.1.0.3, 10.1.0.4
* Oracle Application Server 10g Release 2, versiones 10.1.2.0.0, 10.1.2.0.1, 10.1.2.0.2
* Oracle Application Server 10g Release 1 (9.0.4), versiones 9.0.4.1, 9.0.4.2
* Oracle Collaboration Suite 10g Release 1, versión 10.1.1
* Oracle9i Collaboration Suite Release 2, versión 9.0.4.2
* Oracle E-Business Suite Release 11i, versiones de la 11.5.1 a la 11.5.10 y 11.5.10 CU2
* Oracle E-Business Suite Release 11.0
* Oracle Clinical, versiones 4.5.0 y 4.5.1
* PeopleSoft Enterprise Tools, versiones de la 8.1 a la 8.46.03
* PeopleSoft CRM, versiones de la 8.81 a la 8.9
* JD Edwards EnterpriseOne, OneWorld XE, versiones 8.95_B1, 8.94_Q1, SP23_K1
* Oracle Database Server 10g Release 1, versión 10.1.0.4.2
* Oracle Developer Suite, versiones 9.0.2.1, 9.0.4.1, 9.0.4.2, 10.1.2.0
* Oracle Enterprise Manager Application Server Control, versiones 9.0.4.1, 9.0.4.2
* Oracle Enterprise Manager 10g Database Control, versiones 10.1.0.3, 10.1.0.4
* Oracle Workflow, versiones de la 11.5.1 a la 11.5.9.5
* Oracle9i Database Server Release 1, versiones 9.0.1.4, 9.0.1.5, 9.0.1.5 FIPS
* Oracle8 Database Server Release 8.0.6, versión 8.0.6.3
* Oracle9i Application Server Release 2, versiones 9.0.2.3, 9.0.3.1
* Oracle9i Application Server Release 1, versión 1.0.2.2
La compañía apenas ha publicado detalles al respecto de la enorme lista de vulnerabilidades, con la excepción de un par de ellas:
* Una vulnerabilidad de desbordamiento de búffer y 17 de inyección PL/SQL se han detectado en Oracle Database 10g y Oracle9i Database Server.
* Ciertas entradas dadas a ‘test.jps’ de Oracle Reports Server no es filtrado adecuadamente antes de ser devuelto al usuario. Esto puede ser explotado para ejecutar código HTML y script arbitrario en el navegador del usuario con el contexto del sitio afectado.
Se recomienda aplicar los parches detallados en su alerta oficial (restringida a clientes):
http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=333954.1
La próxima actualización de productos Oracle no se realizará hasta el 17 de enero de 2006.