Se reportaron 82 vulnerabilidades en productos Oracle, las cuales pueden ser explotadas en forma local o remota para provocar una denegación de servicio, ejecutar comandos arbitrarios, leer y sobreescribir archivos arbitrarios, acceder a información sensitiva, realizar ataques de “SQL injection” y de “cross-site scripting” o evitar ciertas restricciones de seguridad. Cabe aclarar que algunas de estas vulnerabilidades tienen impacto desconocido.
Resumen
Errores no especificados en ciertos componentes de productos Oracle pueden ser
explotadas en forma local o remota para provocar una denegación de servicio,
ejecutar comandos arbitrarios, leer y sobreescribir archivos arbitrarios,
acceder a información sensitiva, realizar ataques de “SQL injection” y de
“cross-site scripting” o evitar ciertas restricciones de seguridad.
Versiones Afectada
Los productos afectados, por 1 o más de las 82 vulnerabiliades, son los
siguientes:
PeopleSoft Enterprise Portal versión 8.9
PeopleSoft Enterprise Portal versión 8.8
PeopleSoft Enterprise Portal versión 8.4
Oracle9i Database Release 2 versión 9.2.0.7
Oracle9i Database Release 2 versión 9.2.0.6
Oracle9i Database Release 1 versión 9.0.1.5 FIPS
Oracle9i Database Release 1 versión 9.0.1.5
Oracle9i Database Release 1 versión 9.0.1.4
Oracle9i Collaboration Suite Release 2 versión 9.0.4.2
Oracle9i Application Server Release 1 versión 1.0.2.2
Oracle8i Database Release 3 versión 8.1.7.4
Oracle8 Database Release 8.0.6 versión 8.0.6.3
Oracle Workflow versiones 11.5.1 a 11.5.9.5
Oracle Enterprise Manager 10g Grid Control versión 10.1.0.4
Oracle Enterprise Manager 10g Grid Control versión 10.1.0.3
Oracle E-Business Suite Release 11i versiones 11.5.1 a 11.5.10 CU2
Oracle E-Business Suite Release 11.0
Oracle Developer Suite versión 9.0.4.2
Oracle Developer Suite versión 9.0.4.1
Oracle Developer Suite versión 9.0.2.1
Oracle Developer Suite versión 6i
Oracle Developer Suite versión 10.1.2.0
Oracle Database 10g Release 2 versión 10.2.0.1
Oracle Database 10g Release 1 versión 10.1.0.5
Oracle Database 10g Release 1 versión 10.1.0.4.2
Oracle Database 10g Release 1 versión 10.1.0.4
Oracle Database 10g Release 1 versión 10.1.0.3
Oracle Collaboration Suite 10g Release 1 versión 10.1.2
Oracle Collaboration Suite 10g Release 1 versión 10.1.1
Oracle Application Server 10g Release 2 versión 10.1.2.1.0
Oracle Application Server 10g Release 2 versión 10.1.2.0.2
Oracle Application Server 10g Release 2 versión 10.1.2.0.1
Oracle Application Server 10g Release 2 versión 10.1.2.0.0
Oracle Application Server 10g Release 1 (9.0.4) versión 9.0.4.2
Oracle Application Server 10g Release 1 (9.0.4) versión 9.0.4.1
JD Edwards EnterpriseOne Tools OneWorld Tools versión SP23_L1
JD Edwards EnterpriseOne Tools OneWorld Tools versión 8.95.F1
Detalle
Errores no especificados en Connection Manager, Net Listener, XML Database,
Reports, Oracle HTTP Server, Email Server, Oracle Collaboration Suite Wireless
and Voice, Oracle Content Management SDK, Oracle Content Services, y en varios
paquetes Oracle PL/SQL pueden ser explotados en forma local o remota para
provocar una denegación de servicio, ejecutar comandos arbitrarios, leer y
sobreescribir archivos arbitrarios, acceder a información sensitiva, realizar
ataques de “SQL injection” y de “cross-site scripting” o evitar ciertas
restricciones de seguridad.
Impacto
El impacto de estas vulnerabilidades es ALTO.
Recomendaciones
Recomendamos instalar los parches correspondientes:
http://www.oracle.com/technology/deploy/security/pdf/cpujan2006.html
Referencias
Para más información sobre este boletín:
Alerta original:
http://www.oracle.com/technology/deploy/security/pdf/cpujan2006.html
Secunia:
http://secunia.com/advisories/18493/
Fuente: Arcert.gov.ar
Publicidad