Siguiendo
su ritmo de publicación trimestral de actualizaciones, Oracle publica suboletín de seguridad de octubre. Contiene parches para 154 vulnerabilidades
diferentes en cientos de productos pertenecientes a diferentes familias, que
van desde el popular gestor de base de datos Oracle Database hasta Solaris,
Java o MySQL.
Los fallos se dan en varios
componentes de los productos: - Oracle Database 11g Release 1, versión 11.1.0.7
- Oracle Database 11g Release 2, versiones 11.2.0.3, 11.2.0.4
- Oracle Database 12c Release 1, versiones 12.1.0.1, 12.1.0.2
- Oracle Application Express, versiones anteriores a 4.2.6
- Oracle Fusion Middleware 11g Release 1, versiones 11.1.1.5, 11.1.1.7
- Oracle Fusion Middleware 11g Release 2, versiones 11.1.2.1, 11.1.2.2, 11.1.2.4
- Oracle Fusion Middleware 12c, versiones 12.1.1.0, 12.1.2.0, 12.1.3.0
- Oracle Fusion Applications, versiones 11.1.2 hasta 11.1.8
- Oracle Access Manager, versiones 11.1.1.5, 11.1.1.7, 11.1.2.1, 11.1.2.2
- Oracle Adaptive Access Manager, versiones 11.1.1.5, 11.1.1.7, 11.1.2.1, 11.1.2.2
- Oracle Endeca Information Discovery Studio versiones 2.2.2, 2.3, 2.4, 3.0, 3.1
- Oracle Enterprise Data Quality versiones 8.1.2, 9.0.11
- Oracle Identity Manager, versiones 11.1.1.5, 11.1.1.7, 11.1.2.1, 11.1.2.2
- Oracle JDeveloper, versiones 10.1.3.5, 11.1.1.7, 11.1.2.4, 12.1.2.0, 12.1.3.0
- Oracle OpenSSO version 3.0-04
- Oracle WebLogic Server, versiones 10.0.2, 10.3.6, 12.1.1, 12.1.2, 12.1.3
- Application Performance Management, versiones anteriores a 12.1.0.6.2
- Enterprise Manager for Oracle Database Releases 10g, 11g, 12c
- Oracle E-Business Suite Release 11i version 11.5.10.2
- Oracle E-Business Suite Release 12 versiones 12.0.4, 12.0.6, 12.1.1, 12.1.2, 12.1.3, 12.2.2, 12.2.3, 12.2.4
- Oracle Agile PLM, versiones 9.3.1.2, 9.3.3
- Oracle Transportation Management, versiones 6.1, 6.2, 6.3.0 hasta 6.3.5
- Oracle PeopleSoft Enterprise HRMS, version 9.2
- Oracle PeopleSoft Enterprise PeopleTools, versiones 8.52, 8.53, 8.54
- Oracle JD Edwards EnterpriseOne Tools, version 8.98
- Oracle Communications MetaSolv Solution, versiones MetaSolv Solution: 6.2.1.0.0, LSR: 9.4.0, 10.1.0, ASR: 49.0.0
- Oracle Communications Session Border Controller, version SCX640m5
- Oracle Retail Allocation, versiones 10.0, 11.0, 12.0, 13.0, 13.1, 13.2
- Oracle Retail Clearance Optimization Engine, versiones 13.3, 13.4, 14.0
- Oracle Retail Invoice Matching, versiones 11.0, 12.0, 12.0 IN, 12.1, 13.0, 13.1, 13.2, 14.0
- Oracle Retail Markdown Optimization, versiones 12.0, 13.0, 13.1, 13.2, 13.4
- Oracle Health Sciences Empirica Inspections, versiones 1.0.1.0 y anteriores
- Oracle Health Sciences Empirica Signal, versiones 7.3.3.3 y anteriores
- Oracle Health Sciences Empirica Study, versiones 3.1.2.0 y anteriores
- Oracle Primavera Contract Management, versiones 13.1, 14.0
- Oracle Primavera P6 Enterprise Project Portfolio Management, versiones 7.0, 8.1, 8.2, 8.3
- Oracle JavaFX, versión 2.2.65
- Oracle Java SE, versiones 5.0u71, 6u81, 7u67, 8u20
- Oracle Java SE Embedded, versión 7u60
- Oracle JRockit, versiones R27.8.3, R28.3.3
- Oracle Fujitsu server, versiones M10-1, M10-4, M10-4S
- Oracle Solaris, versiones 10, 11
- Oracle Secure Global Desktop, versiones 4.63, 4.71, 5.0, 5.1
- Oracle VM VirtualBox, versiones anteriores a 4.1.34, 4.2.26, 4.3.14
- Oracle MySQL Server, versiones 5.5.39 y anteriores, 5.6.20 y anteriores
A continuación ofrecemos una
relación de productos y el número de vulnerabilidades corregidas:
- 31 nuevas vulnerabilidades
corregidas en Oracle Database Server, dos de ellas explotables de forma remota
sin autenticación. Afecta a los componentes JPublisher, Java VM, SQLJ,
Application Express, JDBC y Core RDBMS.
- Otras 18 vulnerabilidades
afectan a Oracle Fusion Middleware. 14 de ellas podrían ser explotadas por un
atacante remoto sin autenticar. Los
componentes afectados son: Oracle Adaptive Access Manager, Oracle Enterprise
Data Quality, Oracle Identity Manager, Oracle OpenSSO, Oracle Endeca,
Information Discovery Studio, Oracle WebLogic Server, Oracle Access Manager y
Oracle JDeveloper..
- Esta actualización contiene dos
nuevas actualizaciones de seguridad para Oracle Enterprise Manager Grid Control
por vulnerabilidades no explotables de forma remota sin autenticación.
- Dentro de Oracle Applications, 10
parches son para Oracle E-Business Suite, cinco parches son para Oracle Supply
Chain Products Suite, cinco para productos Oracle PeopleSoft y uno para productos
Oracle JD Edwards.
- Igualmente dentro de Oracle
Industry Applications se incluyen dos nuevos parches para Oracle Communications
Applications, cuatro nuevos parches para Oracle Retail Applications y tres para
Oracle Health Sciences Applications.
- Dos nuevas actualizaciones de
seguridad para Oracle Primavera Products Suite.
- En lo referente a Oracle Java
SE se incluyen 25 nuevos parches de seguridad. 22 de ellas podrían ser
explotadas por un atacante remoto sin autenticar.
- 15 de las vulnerabilidades
afectan a a la Suite de Productos Sun, 14 de ellas a Solaris (todas afectan a
la versión 11 y dos de ellas también afectan a la 10).
- Siete nuevas actualizaciones
afectan a Oracle Virtualization.
- 24 nuevas vulnerabilidades afectan a MySQL Server, Nueve de ellas explotables de forma remota sin autenticación.
Para comprobar las matrices de
productos afectados, gravedad y la disponibilidad de parches, es necesario
comprobar la notificación oficial en:
Oracle Critical Patch Update Advisory - October
2014
Más información:
Oracle Critical Patch Update Advisory - October
2014
Antonio Ropero
Twitter: @aropero
