Sistemas Afectados

  • Oracle Database 9i, versiones 9.2.0.8, 9.2.0.8DV; 10g, versiones 10.1.0.5, 10.2.0.3, 10.2.0.4 y 11g, versiones 11.1.0.6 y 11.1.0.7.
  • Oracle Application Server 10g versiones 10.1.2.3.0, 10.1.3.3.0 y 10.1.3.4.0
  • Oracle Identity Management 10g, versiones 10.1.4.0.1, 10.1.4.2.0, 10.1.4.3.0
  • Oracle E-Business Suite Release 11i, version 11.5.10.2, 12.0.6 y 12.1
  • Oracle Enterprise Manager Database Control 11, version 11.1.0.6, 11.1.0.7
  • Oracle Enterprise Manager Grid Control 10g Release 4, version 10.2.0.4
  • PeopleSoft Enterprise PeopleTools versions: 8.49
  • PeopleSoft Enterprise HRMS versions: 8.9 y 9.0
  • Siebel Highly Interactive Client versions: 7.5.3, 7.7.2, 7.8, 8.0, 8.1
  • Oracle WebLogic Server 7.0 hasta 7.0 SP7, 8.1 hasta 8.1 SP6, 9.0 GA, 9.1 GA, 9.2 hasta 9.2 MP3, 10.3 y 10.0MP1
  • Oracle Complex Event Processing 10.3 y WebLogic Event Server 2.0
  • Oracle JRockit R27.6.3 y earlier (JDK/JRE 6, 5, 1.4.2)

Descripción
Oracle ha publicado una serie de actualizaciones de seguridad para sus productos que solucionan 38 vulnerabilidades.

Impacto
Varía en función del producto, en algunos de ellos el impacto es crítico ya que las vulnerabilidades son explotables en remoto sin necesidad de autenticación, es decir, son explotables desde Internet sin necesidad de facilitar ningún nombre de usuario y contraseña; sin embargo, para otros productos el impacto es menor ya que las vulnerabilidades no pueden ser explotadas en remoto sin autenticación.

Solución
Actualizar los productos de Oracle que tenga instalados. Debido a que varias de los problemas solucionados son críticos, se recomiendo actualizar el sistema en la mayor brevedad posible.

Puede hacerlo desde la página de actualizaciones de Oracle

Detalle
Los problemas solucionados para cada producto son:

Oracle Database

Esta actualización soluciona 16 vulnerabilidades. Seis de ellas son explotables de forma remota sin necesidad de autenticación, una de ellas es aplicable a instalaciones del cliente Oracle.

Los componentes afectados de vulnerabilidades que están solucionados en esta actualización son:

De estos componentes solo el uno de ello tiene una CVSS Base Score de 10.0 en plataforma Windows y 7.5 en otras plataformas.

Oracle Application Server

Esta actualización soluciona 3 vulnerabilidades, de las cuales, dos de ellas pueden ser explotables de forma remota sin necesidad de autenticación.

Los componentes afectados de vulnerabilidades para este producto son:

En estos componentes la mayor puntuación CVSS Base Score es de 4.3.

Oracle E-Business Suite and Applications

Esta actualización soluciona 8 vulnerabilidades, de las cuales cinco, pueden ser explotables de forma remota sin necesidad de autenticación.

Los componentes afectados de vulnerabilidades para este producto son:

En estos componentes la mayor puntuación CVSS Base Score es de 5.5.

Oracle Application Server

Esta actualización soluciona 4 vulnerabilidades, ninguna de ellas pueden ser explotadas de forma remota sin necesidad de autenticación.

Los componentes afectados de vulnerabilidades para este producto son:

En estos componentes la mayor puntuación CVSS Base Score es de 4.1.

Oracle BEA Products

Esta actualización soluciona 6 vulnerabilidades, ninguna de ellas puede ser explotada sin autenticación.

Los componentes afectados de vulnerabilidades para este producto son:

En estos componentes la mayor puntuación CVSS Base Score es de 10.0.

Oracle BEA Products

Esta actualización soluciona una vulnerabilidad, la cual no puede ser explotada de forma remota.

El componente afectado por la vulnerabilidad es:

  • Oracle Communications Order and Service Management (CVE-2009-1988)

La puntuación CVSS Base Score de esta vulnerabiliadad es de 4.9.

Para ampliar la información consultar el aviso de Oracle (Apartado de Referencias).

Para consultar las vulnerabilidades (por CVE) se puede hacer, según su estado:

Referencias