Como viene siendo habitual, cada 3 meses Oracle emite su Critical Patch Update con la corrección de diversas vulnerabilidades que afectan a sus productos. En esta ocasión, se solventan 78 nuevas vulnerabilidades. Las consecuencias son que atacantes locales y remotos pueden comprometer gravemente la seguridad de los sistemas y servicios afectados.

Los fallos se dan en varios componentes de los productos:

* Oracle Database 11g Release 2, versiones 11.2.0.1, 11.2.0.2
* Oracle Database 11g Release 1, versión 11.1.0.7
* Oracle Database 10g Release 2, versiones 10.2.0.3, 10.2.0.4, 10.2.0.5
* Oracle Database 10g Release 1, versión 10.1.0.5
* Oracle Secure Backup, versión 10.3.0.3
* Oracle Fusion Middleware 11g Release 1, versiones 11.1.1.3.0,
11.1.1.4.0, 11.1.1.5.0
* Oracle Application Server 10g Release 3, versión 10.1.3.5.0
* Oracle Application Server 10g Release 2, versión 10.1.2.3.0
* Oracle Business Intelligence Enterprise Edition, versiones 10.1.3.4.1, 11.1.1.3
* Oracle Identity Management 10g, versiones 10.1.4.0.1, 10.1.4.3
* Oracle JRockit, versiones R27.6.9 y anteriores (JDK/JRE 1.4.2, 5, 6), R28.1.3 y anteriores (JDK/JRE 5, 6)
* Oracle Outside In Technology, versiones 8.3.2.0, 8.3.5.0
* Oracle Enterprise Manager 10g Grid Control Release 1, versión 10.1.0.6
* Oracle Enterprise Manager 10g Grid Control Release 2, versión 10.2.0.5
* Oracle Enterprise Manager 11g Grid Control Release 1, versión 11.1.0.1
* Oracle E-Business Suite Release 12, versiones 12.0.4, 12.0.6, 12.1.1, 12.1.2, 12.1.3
* Oracle E-Business Suite Release 11i, versión 11.5.10.2
* Oracle Agile Technology Platform, versiones 9.3.0.3, 9.3.1.1
* Oracle PeopleSoft Enterprise FIN, versión 9.0, 9.1
* Oracle PeopleSoft Enterprise FMS, versiones 9.0, 9.1
* Oracle PeopleSoft Enterprise FSCM, versiones 9.0, 9.1
* Oracle PeopleSoft Enterprise HRMS, versiones 8.9, 9.0, 9.1
* Oracle PeopleSoft Enterprise SCM, versiones 9.0, 9.1
* Oracle PeopleSoft Enterprise PeopleTools, versiones 8.49, 8.50, 8.51
* Oracle Sun Product Suite

A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas:

* 16 nuevas vulnerabilidades corregidas en Oracle Database. Cinco de los problemas corregidos son explotables remotamente sin autenticación.

* En Oracle Secure Backup aparecen tres parches, todo ellos podrían permitir explotar el sistema atacado sin autenticación alguna.

* Otras siete vulnerabilidades afectan a Oracle Fusion Middleware. Dos de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes de Oracle Fusion Middleware products incluyen Oracle Database, por lo que también se ven afectados por las vulnerabilidades aparecidas en esta último producto.

* 18 parches afectan a Oracle Enterprise Manager Grid Control. En esta ocasión, 14 de estos parches solucionan vulnerabilidades que podrían ser explotadas por un atacante remoto sin autenticar. En este caso también, el componente incluye Oracle Database y Oracle Fusion Middleware, y por lo tanto, las vulnerabilidades de ambos.

* 14 nuevas vulnerabilidades afectan a Oracle Applications divididas en: una en Oracle E-Business Suite, otra en Oracle Supply Chain Products Suite y 12 en Oracle PeopleSoft Products.

* 23 parches afectan a la suite de productos Oracle Sun. Nueve de estas nuevas vulnerabilidades permitían comprometer los sistemas no parcheados sin necesidad de autenticación.

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial en:

Oracle Critical Patch Update Advisory - July 2011
http://www.oracle.com/technetwork/topics/security/cpujuly2011-313328.html

Javier Rascón
 jrascon@hispasec.com

FUENTE :http://www.hispasec.com/unaaldia/4654