22 abr. 2014

Oracle corrige 104 vulnerabilidades en su actualización de seguridad de abril

Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica su boletín de seguridad de abril. Contiene parches para 104 vulnerabilidades diferentes en cientos de productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris o MySQL.

Los fallos se dan en varios componentes de los productos:
  • Oracle Database 11g Release 1, versión 11.1.0.7
  • Oracle Database 11g Release 2, versiones 11.2.0.3 y 11.2.0.4
  • Oracle Database 12c Release 1, versión 12.1.0.1
  • Oracle Fusion Middleware 11g Release 1, versiones 11.1.1.7 y 11.1.1.8
  • Oracle Fusion Middleware 12c Release 1, versiones 12.1.1.0 y 12.1.2.0
  • Oracle Fusion Applications, versiones 11.1.2 hasta la 11.1.8
  • Oracle Access Manager, versiones 10.1.4.3, 11.1.1.3.0, 11.1.1.5.0, 11.1.1.7.0, * 11.1.2.0.0, 11.1.2.1.0 y 11.1.2.2.0
  • Oracle Containers for J2EE, versión 10.1.3.5
  • Oracle Data Integrator, versión 11.1.1.3.0
  • Oracle Endeca Server, versión 2.2.2
  • Oracle Event Processing, versión 11.1.1.7.0
  • Oracle Identity Analytics, versión 11.1.1.5, Sun Role Manager, versión 5.0
  • Oracle OpenSSO, versión 8.0 Update 2 Patch 5
  • Oracle OpenSSO Policy Agent, versión 3.0-03
  • Oracle WebCenter Portal, versiones 11.1.1.7 y 11.1.1.8
  • Oracle WebLogic Server, versiones 10.0.2.0, 10.3.6.0, 12.1.1.0 y 12.1.2.0
  • Oracle Hyperion Common Admin, versiones 11.1.2.2 y 11.1.2.3
  • Oracle E-Business Suite Release 11i y 12i
  • Oracle Agile PLM Framework, versiones 9.3.1.1 y 9.3.3.0
  • Oracle Agile Product Lifecycle Management for Process, versiones 6.0.0.7 y 6.1.1.3
  • Oracle Transportation Management, versiones 6.3 y 6.3.4
  • Oracle PeopleSoft Enterprise CS Campus Self Service, versión 9.0
  • Oracle PeopleSoft Enterprise HRMS Talent Acquisition Manager, versiones 8.52 y 8.53
  • Oracle PeopleSoft Enterprise PT Tools, versiones 8.52 y 8.53
  • Oracle Siebel UI Framework, versiones 8.1.1 y 8.2.2
  • Oracle iLearning, versiones 6.0 y 6.1
  • Oracle JavaFX, versión 2.2.51
  • Oracle Java SE, versiones 5.0u61, 6u71, 7u51 y 8
  • Oracle Java SE Embedded, versión 7u51
  • Oracle JRockit, versiones R27.8.1 y R28.3.1
  • Oracle Solaris, versiones 9, 10 y 11.1
  • Oracle Secure Global Desktop, versiones 4.63, 4.71, 5.0 y 5.1
  • Oracle VM VirtualBox, versiones anteriores a 3.2.22, 4.0.24, 4.1.32, 4.2.24 y 4.3.10
  • Oracle MySQL Server, versiones 5.5 y 5.6
A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas:
  • Dos nuevas vulnerabilidades corregidas en Oracle Database Server, que afectan al componente Core RDBMS.
  • Otras 20 vulnerabilidades afectan a Oracle Fusion Middleware. 13 de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Oracle Access Manager, Oracle Containers for
  • J2EE, Oracle Data Integrator, Oracle Endeca Server, Oracle Event
  • Processing, Oracle Identity Analytics, Oracle OpenSSO, Oracle WebCenter Portal y Oracle WebLogic Server.
  • Tres actualizaciones afectan a Oracle Hyperion, dos de ellas podrían ser explotadas por un atacante remoto sin autenticar. El todos los casos el componente afectado es Hyperion Common Admin.
  • Dentro de Oracle Applications, 10 parches son para Oracle Supply Chain
  • Products Suite, ocho para productos Oracle PeopleSoft, uno para Oracle Siebel CRM y uno para iLearning.
  • En lo referente a Oracle Java SE se incluyen 37 nuevos parches de seguridad. 35 de las vulnerabilidades podrían ser explotadas por un atacante remoto sin autenticar.
  • 14 nuevas vulnerabilidades afectan a MySQL Server, dos de ellas explotables de forma remota sin autenticación.
  • Esta actualización también incluye tres parches que afectan a Solaris en sus versiones 9, 10 y 11.1 aunque ninguno de ellos es explotable remotamente sin autenticación (uno de ellos solo afecta a las plataformas SPARC64-X).
Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial en:
Oracle Critical Patch Update Advisory - April 2014
http://www.oracle.com/technetwork/topics/security/cpuapr2014-1972952.html

Fuente: Hispasec

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!