Grupo de parches de enero para múltiples productos Oracle

Oracle ha publicado un conjunto de 66 parches para diversos productos de la casa que solventan una larga lista de vulnerabilidades. Las consecuencias son que atacantes locales y remotos pueden comprometer gravemente la seguridad de los sistemas y servicios afectados.

En este boletín han sido solucionados 66 errores agrupados en los siguientes productos:

• Oracle Database 11g Release 2, versión 11.2.0.1
• Oracle Database 11g Release 1, versión 11.1.0.7
• Oracle Database 10g Release 2, versiones 10.2.0.3, 10.2.0.4, 10.2.0.5
• Oracle Database 10g Release 1, versión 10.1.0.5
• Oracle Audit Vault 10g Release 2, versión 10.2.3.2
• Oracle Secure Backup 10g Release 3, versión 10.3.0.2
• Oracle , 11g Release 1, versiones 11.1.1.2.0, 11.1.1.3.0
• Oracle Application Server 10g Release 2, versión 10.1.2.3.0
• Oracle Beehive, versiones 2.0.1.0, 2.0.1.1, 2.0.1.2, 2.0.1.2.1, 2.0.1.3
• Oracle BI Publisher, versiones 10.1.3.3.2, 10.1.3.4.0, 10.1.3.4.1, 11.1.1.3
• Oracle Document Capture, versiones 10.1.3.4, 10.1.3.5
• Oracle GoldenGate Veridata, versión 3.0.0.4
• Oracle JRockit versiones, R27.6.7 y anteriores (JDK/JRE 1.4.2, 5, 6), R28.0.1 y anteriores (JDK/JRE 5, 6)
• Oracle Outside In Technology, versión 8.3.0
• Oracle WebLogic Server, versiones 7.0.7, 8.1.6, 9.0, 9.1, 9.2.3, 10.0.2, 10.3.2, 10.3.3
• Oracle Enterprise Manager Suite Release 10, versión 10.2.0.5
• Oracle Enterprise Manager Real User Experience Insight, versión RUEI 6.0
• Oracle E-Business Suite Release 12, versiones 12.0.4, 12.0.5, 12.0.6, 12.1.1, 12.1.2, 12.1.3
• Oracle E-Business Suite Release 11i, versión 11.5.10.2
• Oracle Agile Core, versiones 9.3.0.2, 9.3.1
• Oracle Transportation Manager, versiones 5.5, 6.0, 6.1, 6.2
• Oracle PeopleSoft Enterprise CRM, versiones 8.9, 9.0, 9.1
• Oracle PeopleSoft Enterprise HRMS, versiones 8.9, 9.0, 9.1
• Oracle PeopleSoft Enterprise PeopleTools, versiones 8.49, 8.50, 8.51
• Oracle Argus Safety, versiones 5.0, 5.0.1, 5.0.2, 5.0.3
• Oracle InForm Portal, versiones 4.5, 4.6, 5.0
• Oracle Sun Product Suite
• Oracle Open Office, versión 3.2.1 y StarOffice/StarSuite, versiones 7, 8

De los 66 errores existen, los más graves son (calificados de máxima criticidad, esto es, permiten ejecución de código sin intervención del usuario y no resultan complejos de aprovechar):

• CVE-2010-4449: En el protocolo HTTP del componente Audit Vault.
• CVE-2010-3574: En múltiples protocolos del componente Oracle JRockit.
• CVE-2010-3510: En Node Manager de Oracle WebLogic Server.
• CVE-2010-4435: En el protocolo RPC de Solaris 8, 9 y 10

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial:

Fuente: Hispasec