Sobre GlobalGate

Oracle: Múltiples vulnerabilidades

Se ha reportado en varios productos de Oracle, múltiples vulnerabilidades, algunas tienen alcance desconocido, otras pueden ser aprovechadas para causar denegación de servicio, realizar ataques del tipo Spoofing, revelar información importante o comprometer un sistema vulnerable.

Alerta de Seguridad ArCERT2009071601

Oracle: Múltiples vulnerabilidades

Se ha reportado en varios productos de Oracle, múltiples vulnerabilidades, algunas tienen alcance desconocido, otras pueden ser aprovechadas para causar denegación de servicio, realizar ataques del tipo Spoofing, revelar información importante o comprometer un sistema vulnerable.

Versiones Afectadas

Se ven afectadas por estas vulnerabilidades las versiones: Oracle Database 11g (versiones: 11.1.0.6 y 11.1.0.7) Oracle Database 10g Release 2 (versiones: 10.2.0.3 y 10.2.0.4) Oracle Database 10g (versión 10.1.0.5) Oracle Database 9i Release 2 (versiones 9.2.0.8 y 9.2.0.8DV) Oracle Application Server 10g Release 2 (versión 10.1.2.3.0) Oracle Application Server 10g Release 3 (versiones 10.1.3.3.0 y 10.1.3.4.0) Oracle Identity Management 10g (versiones 10.1.4.0.1, 10.1.4.2.0  y 10.1.4.3.0) Oracle E-Business Suite Release 12 (versión 12.1) Oracle E-Business Suite Release 12 (versión 12.0.6) Oracle E-Business Suite Release 11i (versión 11.5.10.2) Oracle Enterprise Manager Database Control 11 (versiones 11.1.0.6 y 11.1.0.7) Oracle Enterprise Manager Grid Control 10g Release 4 (versión 10.2.0.4) PeopleSoft Enterprise PeopleTools (versión 8.49) PeopleSoft Enterprise HRMS (versiones: 8.9 y 9.0) Siebel Highly Interactive Client (versiones: 7.5.3, 7.7.2, 7.8, 8.0 y 8.1) Oracle WebLogic Server 10 (versiones 10.3 y 10.0MP1) Oracle WebLogic Server 9 (versiones 9.0 GA, 9.1 GA y 9.2 hasta 9.2 MP3) Oracle WebLogic Server 8 (versiones 8.1 hasta 8.1 SP6) Oracle WebLogic Server 7 (veriones 7.0 hasta 7.0 SP7) Oracle Complex Event Processing 10.3 WebLogic Event Server 2.0 Oracle JRockit R27.6.3 y anteriores a (JDK/JRE 6, 5, 1.4.2) Oracle Secure Backup anteriores a la versión 10.2.0.3 Oracle Secure Enterprise anteriores a la versión 10.1.8.3

Detalle

Se han reportado múltiples vulnerabilidades en productos y componentes Oracle. El impacto de las mismas varía dependiendo del producto, la componente y la configuración del sistema. Los componentes afectados podrían estar disponibles para atacantes remotos y no autenticados permitiendo la potencial ejecución de código arbitrario, acceso a información sensible y denegación de servicio. A continuación se describen algunas de las vulnerabilidades descubiertas en los productos Oracle: Existen múltiples vulnerabilidades en JRockit que pueden ser aprovechadas para causar denegación de servicio o comprometer un sistema vulnerable. Existe una vulnerabilidad en Oracle Complex Event Processing que puede ser aprovechada para revelar información importante. Existe un error durante el procesamiento de ciertos documentos XML Signatures en Oracle WebLogic Server (Web Services Component) y Oracle Secure Development Toolkit/Oracle Web Services Manager. A la fecha no se cuenta con mayor información sobre las restantes vulnerabilidades. Para más información sobre las vulnerabilidades se recomienda consultar la página del fabricante, incluida en la sección de referencias.

Impacto

El impacto de esta vulnerabilidad es ALTAMENTE CRITICO.

Recomendaciones

Se recomienda aplicar las actualizaciones correspondientes a cada producto, como se indica en el alerta original.

Referencias

Más información sobre esta alerta: Aviso Original: http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2009.html Secunia: http://secunia.com/advisories/35776