Múltiples vulnerabilidades en productos de Oracle

Dejando aparte lo inteligente o conveniente de dicha política para los administradores de sistemas afectados, ha sido fiel a dicho anuncio y ha publicado 23 avisos de vulnerabilidades que han sido detectadas en gran cantidad de productos de su compañía.

Si bien la mayor parte de las vulnerabilidades descubiertas permiten el acceso a información sensible y la manipulación de datos, otras permitirían también realizar ataques de inyección PL/SQL, denegación de servicio o escalada de privilegios.

La compañía aplica el adjetivo potencial a la mayor parte de las vulnerabilidades y especifica en gran cantidad de ellas requisitos como permisos de ejecución sobre determinados paquetes, o estar en una sesión válida.

En resumen, los componentes afectados (que no las vulnerabilidades individuales) serían los siguientes, con sus vulnerabilidades asociadas:

– Networking (DoS)

– LOB Access (AIS)

– Spatial (AIS, MdI, DoS)

– UTL_FILE (MdI)

– Diagnostic (AIS, MdI, DoS)

– XDB (AIS, MdI)

– Dataguard (AIS, MdI)

– Log Miner (AIS, MdI)

– OLAP (AIS, MdI)

– Data Mining (AIS, MdI)

– Advanced Queuing (AIS, MdI)

– Change Data Capture (AIS, MdI)

– Database Core (AIS, MdI)

– OHS (AIS, MdI)

– Report Server (AIS, MdI)

– Forms (DoS)

– mod_plsql (AIS, MdI)

– Calendar (AIS, MdI, DoS)

Adicionalmente, se han detectado también errores en Oracle E-Business Suite que podrían ser explotados para acceder a información sensible o manipularla.

Los acrónimos usados para simplificar la enumeración son los siguientes:

AIS: Acceso a información sensible

MdI: Manipulación de información

DoS: Denegación de servicio

Los productos afectados por estas vulnerabilidades serían los siguientes:

-Oracle8 Database Release 8.0.6 (versión 8.0.6.3)

-Oracle8i Database Server Release 3 (versión 8.1.7.4)

-Oracle9i Database Server Release 1 (versiones 9.0.1.4, 9.0.1.5 y 9.0.4)

-Oracle9i Database Server Release 2 (versiones 9.2.0.4, 9.2.0.5 y 9.2.0.6)

-Oracle9i Application Server Release 1 (versión 1.0.2.2)

-Oracle9i Application Server Release 2 (versiones 9.0.2.3 y 9.0.3.1)

-Oracle Database 10g Release 1 (versiones 10.1.0.2, 10.1.0.3 y 10.1.0.3.1)

-Oracle Application Server 10g (9.0.4, versiones 9.0.4.0 y 9.0.4.1)

-Oracle Application Server 10g Release 2 (10.1.2)

-Oracle Collaboration Suite Release 2 (version 9.0.4.2)

-Oracle E-Business Suite and Applications Release 11i (11.5)

-Oracle E-Business Suite and Applications Release 11.0

El enlace para acceder a las actualizaciones pertinentes según plataforma es el siguiente:

http://metalink.oracle.com/metalink/plsql/showdoc?db=NOT&id=293953.1

Tras esto, sólo recordar que las fechas programadas para repetir este tipo de publicación son 12 de abril, 12 de julio y 18 de octubre.