Boletines de seguridad de Oracle y Java en octubre (139 vulnerabilidades)

Oracle soluciona 139 vulnerabilidades este mes y finaliza el ciclo anual
de actualizaciones. Oracle Systems ha hecho público su tercer y último
boletín de seguridad de este año, que corrige 109 vulnerabilidades
presentes en 11 familias de productos Oracle, en especial Oracle DB,
Fusion Middleware, Solaris y MySQL.

Las vulnerabilidades presentes en estos boletines están bastante
repartidas entre los productos afectados, listados a continuación con
sus versiones correspondientes:

* Oracle Database Server
Oracle Database 11g Release 2, versiones 11.2.0.2, 11.2.0.3
Oracle Database 11g Release 1, versión 11.1.0.7
Oracle Database 10g Release 2, versiones 10.2.0.3, 10.2.0.4, 10.2.0.5

* Oracle Fusion Middleware
Oracle Fusion Middleware 11g Release 1, versión 11.1.1.6
Oracle Forms and Reports 11g, Release 2, versión 11.1.2.0
Oracle Forms and Reports 11g Release 1, versión 11.1.1.4
Oracle BI Publisher, versiones 10.1.3.4.2, 11.1.1.5.0, 11.1.1.6.0,
11.1.1.6.2
Oracle Event Processing, versiones 2.0, 11.1.1.4.0, 11.1.1.6.0
Oracle Identity Management 10g, versión 10.1.4.3
Oracle Imaging and Process Management, versión 10.1.3.6.0
Oracle JRockit versiones, R28.2.4 y posteriores, R27.7.3 y posteriores
Oracle Outside In Technology, versión 8.3.7
Oracle WebLogic Server, versiones 9.2.4.0, 10.0.2.0, 10.3.5.0, 10.3.6.0,
12.1.1.0
Oracle WebCenter Sites, versiones 6.1, 6.2, 6.3.x, 7, 7.0.1, 7.0.2,
7.0.3, 7.5, 7.6.1, 7.6.2, 11.1.1.6.0

* Oracle E-Business Suite
Oracle E-Business Suite Release 12, versiones 12.0.6, 12.1.1, 12.1.2,
12.1.3
Oracle E-Business Suite Release 11i, versión 11.5.10.2

* Oracle Supply Chain
Oracle Agile PLM For Process, versiones 5.2.2, 6.0.0.6.3, 6.1.0.0,
6.1.0.1.14
Oracle Agile PLM Framework, versiones 9.3.1.0, 9.3.1.1
Oracle Agile Product Supplier Collaboration for Process, versions 5.2.2,
6.1.0.0

* Oracle PeopleSoft Products
Oracle PeopleSoft Enterprise Campus Solutions, versión 9.0
Oracle PeopleSoft Enterprise PeopleTools, versiones 8.50, 8.51, 8.52

* Oracle Siebel CRM
Oracle Siebel UI Framework, versión 8.1.1

* Oracle Industry Applications
Oracle Central Designer, versiones 1.3, 1.4, 1.4.2
Oracle Clinical/Remote Data Capture, versiones 4.6.0, 4.6.2

* Oracle Financial Services Software
Oracle FLEXCUBE Direct Banking, versiones 5.0.2, 5.0.5, 5.1.0, 5.2.0,
5.3.0-5.3.4, 6.0.1, 6.2.0, 12
Oracle FLEXCUBE Universal Banking, versiones 10.0.0-10.5.0,
11.0.0-11.4.0, 12

* Oracle Sun Products Suite

* Oracle Virtualization
Oracle Secure Global Desktop, versión 4.6
Oracle VM Virtual Box, versiones 3.2, 4.0, 4.1

* MySQL
Oracle MySQL Server, versiones 5.1.63 y anteriores, 5.5.25 y anteriores.

* Java SE
JDK y JRE 7 Update 7 y anteriores
JDK y JRE 6 Update 35 y anteriores
JDK y JRE 5.0 Update 36 y anteriores
SDK y JRE 1.4.2_38 y anteriores

* Java FXCTXSYS.
JavaFX 2.2 y anteriores

En resumen las vulnerabilidades pueden considerarse de nivel medio. La
mayoría de ellas se catalogan como denegaciones de servicio (Solaris y
MySQL sobretodo), mientras que las más elevadas son las que afectan a
Java SE.

A continuación ofrecemos una relación de productos y el número de
vulnerabilidades corregidas:

* Oracle Database Server (5), se corrigen las vulnerabilidades críticas
de revelación de credenciales mediante el protocolo de autenticación
Oracle, (CVE-2012-3137) y elevación de privilegios a través de
“CTXSYS.CONTEXT” (CVE-2012-3132) reportadas por el equipo de TeamSHATTER
y que ya comentamos en anteriores una-al-día.

* Oracle Fusion Middleware (26), la más importante una ejecución remota
de código en Oracle JRockit (CVE-2012-3202). El resto son de tipo
medio-bajo.

* Oracle E-Business Suite (9), relacionadas con revelación de
información sensible y salto de restricciones.

* Oracle Supply Chain (9) vulnerabilidades, entre ellas cuatro
denegaciones de servicio. Todas se pueden explotar de forma remota,
relacionadas también con revelación de información sensible y salto de
restricciones.

* Oracle PeopleSoft Products (9), sería necesario autenticación simple
en todas ellas para poder explotarlas. Todas tienes un impacto bajo
Oracle Siebel CRM (2) y estarían relacionadas con la revelación de
información sensible.

* Oracle Industry Applications (2), la vulnerabilidad mas relevante
CVE-2012-5066, tendría un CVSS de 6.3 y permitiría un salto de
restricciones en Oracle Central Designer.

* Oracle Financial Services Software (13), de nivel medio-bajo, están
relacionadas la mayoría con revelación de información sensible o salto
de restricciones de manera remota, salvo CVE-2012-3145 que es una
vulnerabilidad local.

* Oracle Sun Products Suite (18), la gran mayoría pertenecen a Solaris,
siendo las más importantes relacionadas con ejecución arbitraria de
código (CVSS 7.2) y denegación de servicio (CVSS 7.8) Oracle
Virtualization (2), de bajo nivel y relaciones con la integridad y
disponibilidad de los sistemas.

* MySQL (14), todas las vulnerabilidades de tipo remoto excepto la
CVE-2012-3160 que es local. La gran mayoría sería del tipo denegación de
servicio, salvo dos importantes vulnerabilidades de ejecución remota de
código (CVE-2012-3158 y CVE-2012-3163) con CVSS de 7.5 y 9
respectivamente, ésta última sólo en Linux con esa puntuación.

* Java SE (30), es el boletín con vulnerabilidades más importantes ya
que se corrigen hasta 10 de tipo ejecución remota de código (críticas):
CVE-2012-5083, CVE-2012-1531, CVE-2012-5086, CVE-2012-5087,
CVE-2012-1533, CVE-2012-1532, CVE-2012-5076, CVE-2012-3143,
CVE-2012-5088 y CVE-2012-5078.

Se recomienda visitar la página oficial con la matriz de sistemas
afectados y sus parches.
 Fuente