Múltiples vulnerabilidades en productos de Oracle

Redacción,
SeguridadVirus

Oracle sorprendió hace unos meses con un polémico comunicado en el que anunciaba que su nueva política de publicación de actualizaciones sería trimestral.

Dejando aparte lo inteligente o conveniente de dicha política para los administradores de sistemas afectados, ha sido fiel a dicho anuncio y ha publicado 23 avisos de vulnerabilidades que han sido detectadas en gran cantidad de productos de su compañía.

Si bien la mayor parte de las vulnerabilidades descubiertas permiten el acceso a información sensible y la manipulación de datos, otras permitirían también realizar ataques de inyección PL/SQL, denegación de servicio o escalada de privilegios.

La compañía aplica el adjetivo potencial a la mayor parte de las vulnerabilidades y especifica en gran cantidad de ellas requisitos como permisos de ejecución sobre determinados paquetes, o estar en una sesión válida.

En resumen, los componentes afectados (que no las vulnerabilidades individuales) serían los siguientes, con sus vulnerabilidades asociadas:

– Networking (DoS)

– LOB Access (AIS)

– Spatial (AIS, MdI, DoS)

– UTL_FILE (MdI)

– Diagnostic (AIS, MdI, DoS)

– XDB (AIS, MdI)

– Dataguard (AIS, MdI)

– Log Miner (AIS, MdI)

– OLAP (AIS, MdI)

– Data Mining (AIS, MdI)

– Advanced Queuing (AIS, MdI)

– Change Data Capture (AIS, MdI)

– Database Core (AIS, MdI)

– OHS (AIS, MdI)

– Report Server (AIS, MdI)

– Forms (DoS)

– mod_plsql (AIS, MdI)

– Calendar (AIS, MdI, DoS)

Adicionalmente, se han detectado también errores en Oracle E-Business Suite que podrían ser explotados para acceder a información sensible o manipularla.

Los acrónimos usados para simplificar la enumeración son los siguientes:

AIS: Acceso a información sensible

MdI: Manipulación de información

DoS: Denegación de servicio

Los productos afectados por estas vulnerabilidades serían los siguientes:

-Oracle8 Database Release 8.0.6 (versión 8.0.6.3)

-Oracle8i Database Server Release 3 (versión 8.1.7.4)

-Oracle9i Database Server Release 1 (versiones 9.0.1.4, 9.0.1.5 y 9.0.4)

-Oracle9i Database Server Release 2 (versiones 9.2.0.4, 9.2.0.5 y 9.2.0.6)

-Oracle9i Application Server Release 1 (versión 1.0.2.2)

-Oracle9i Application Server Release 2 (versiones 9.0.2.3 y 9.0.3.1)

-Oracle Database 10g Release 1 (versiones 10.1.0.2, 10.1.0.3 y 10.1.0.3.1)

-Oracle Application Server 10g (9.0.4, versiones 9.0.4.0 y 9.0.4.1)

-Oracle Application Server 10g Release 2 (10.1.2)

-Oracle Collaboration Suite Release 2 (version 9.0.4.2)

-Oracle E-Business Suite and Applications Release 11i (11.5)

-Oracle E-Business Suite and Applications Release 11.0

El enlace para acceder a las actualizaciones pertinentes según plataforma es el siguiente:

http://metalink.oracle.com/metalink/plsql/showdoc?db=NOT&id=293953.1

Tras esto, sólo recordar que las fechas programadas para repetir este tipo de publicación son 12 de abril, 12 de julio y 18 de octubre.

Redacción
Autor: Redacción