Grupo de parches de julio para diversos productos Oracle

Las consecuencias son que atacantes locales y remotos pueden provocar denegaciones de servicio, ejecutar código arbitrario, tener acceso de escritura y lectura a datos sensibles.

Oracle ha publicado un conjunto de 45 parches para diversos productos de la casa que solventan una larga lista de vulnerabilidades sobre las que apenas han dado detalles concretos.

Las consecuencias son que atacantes locales y remotos pueden provocar denegaciones de servicio, ejecutar código arbitrario, tener acceso de escritura y lectura a datos sensibles, perpetrar ataques de inyección SQL y eludir restricciones de seguridad. Los fallos se dan en varios componentes de los productos.

Parece que el número de actualizaciones por trimestre desciende para Oracle en los últimos tiempos. En abril, Oracle publicó 36 actualizaciones de seguridad. En enero, el total ascendió a 50. En octubre batió todos los records y publicó más de 100 parches. Hace justo un año, en julio de 2006, publicó 65 actualizaciones.

Los productos afectados son:

Oracle Database 10g Release 2, versiones 10.2.0.2, 10.2.0.3

Oracle Database 10g, versión 10.1.0.5

Oracle9i Database Release 2, versiones 9.2.0.7, 9.2.0.8, 9.2.0.8DV

Oracle Application Express (HTML DB), versiones 1.5 – 2.2

Oracle Secure Enterprise Search 10g, versiones 10.1.6, 10.1.8

Oracle Application Server 10g Release 3 (10.1.3), versiones 10.1.3.0.0, 10.1.3.1.0, 10.1.3.2.0, 10.1.3.3.0

Oracle Application Server 10g Release 2 (10.1.2), versiones 10.1.2.0.1- 10.1.2.0.2, 10.1.2.1.0, 10.1.2.2.0

Oracle Application Server 10g (9.0.4), versión 9.0.4.3

Oracle10g Collaboration Suite, versión 10.1.2

Oracle E-Business Suite Release 11i, versiones 11.5.8 – 11.5.10 CU2

Oracle E-Business Suite Release 12, versiones 12.0.0, 12.0.1

Oracle PeopleSoft Enterprise PeopleTools versiones 8.22, 8.47, 8.48,.49

Oracle PeopleSoft Enterprise Human Capital Management versiones 8.9, 9.0

Oracle PeopleSoft Enterprise Customer Relationship Management versiones 8.9, 9.0

De las 45 correcciones, 19 afectan a Oracle Database, dos de ellas no requieren un usuario y contraseña válidos para poder ser aprovechadas. afectan a Oracle Application Server, tres de las cuales no requieren un usuario y contraseña válidos para poder ser aprovechadas. afecta a Oracle Collaboration Suite.

Este parche incluye una solución para 4 vulnerabilidades de Oracle Application Server. 14 afectan a Oracle E-Business Suite. Seis de ellas no requieren un usuario y contraseña válidos para poder ser aprovechadas. Siete afectan a Oracle PeopleSoft Enterprise. Una de ellas no requieren un usuario y contraseña válidos para poder ser aprovechadas.

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación