Parches de actualización para 85 vulnerabilidades en productos Oracle

Varias de ellas tienen impacto desconocido, y otras pueden ser explotadas para realizar ataques de inyección PL/SQL, cross site scripting, e incluso compromiso de sistemas afectados.

La lista detallada de productos y versiones afectadas por al menos una de las vulnerabilidades es la siguiente:

* Oracle Database Server 10g Release 1, versiones 10.1.0.3, 10.1.0.4

* Oracle9i Database Server Release 2, versiones 9.2.0.5, 9.2.0.6, 9.2.0.7

* Oracle8i Database Server Release 3, versión 8.1.7.4

* Oracle Enterprise Manager 10g Grid Control, versiones 10.1.0.3, 10.1.0.4

* Oracle Application Server 10g Release 2, versiones 10.1.2.0.0, 10.1.2.0.1, 10.1.2.0.2

* Oracle Application Server 10g Release 1 (9.0.4), versiones 9.0.4.1, 9.0.4.2

* Oracle Collaboration Suite 10g Release 1, versión 10.1.1

* Oracle9i Collaboration Suite Release 2, versión 9.0.4.2

* Oracle E-Business Suite Release 11i, versiones de la 11.5.1 a la 11.5.10 y 11.5.10 CU2

* Oracle E-Business Suite Release 11.0

* Oracle Clinical, versiones 4.5.0 y 4.5.1

* PeopleSoft Enterprise Tools, versiones de la 8.1 a la 8.46.03

* PeopleSoft CRM, versiones de la 8.81 a la 8.9

* JD Edwards EnterpriseOne, OneWorld XE, versiones 8.95_B1, 8.94_Q1, SP23_K1

* Oracle Database Server 10g Release 1, versión 10.1.0.4.2

* Oracle Developer Suite, versiones 9.0.2.1, 9.0.4.1, 9.0.4.2, 10.1.2.0

* Oracle Enterprise Manager Application Server Control, versiones 9.0.4.1, 9.0.4.2

* Oracle Enterprise Manager 10g Database Control, versiones 10.1.0.3, 10.1.0.4

* Oracle Workflow, versiones de la 11.5.1 a la 11.5.9.5

* Oracle9i Database Server Release 1, versiones 9.0.1.4, 9.0.1.5, 9.0.1.5 FIPS

* Oracle8 Database Server Release 8.0.6, versión 8.0.6.3

* Oracle9i Application Server Release 2, versiones 9.0.2.3, 9.0.3.1

* Oracle9i Application Server Release 1, versión 1.0.2.2

La compañía apenas ha publicado detalles al respecto de la enorme lista de vulnerabilidades, con la excepción de un par de ellas:

* Una vulnerabilidad de desbordamiento de búffer y 17 de inyección PL/SQL se han detectado en Oracle Database 10g y Oracle9i Database Server.

* Ciertas entradas dadas a ‘test.jps’ de Oracle Reports Server no es filtrado adecuadamente antes de ser devuelto al usuario. Esto puede ser explotado para ejecutar código HTML y script arbitrario en el navegador del usuario con el contexto del sitio afectado.

Se recomienda aplicar los parches detallados en su alerta oficial (restringida a clientes):

http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=333954.1

La próxima actualización de productos Oracle no se realizará hasta el 17 de enero de 2006.