Oracle corrige 237 vulnerabilidades en su boletín de enero

 

Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica su boletín de seguridad de enero. Contiene parches para 237 vulnerabilidades diferentes, en múltiples productos y de diferentes familias: algunas de ellas podrían permitir a un atacante remoto sin autenticar hacerse con el control del sistema en el caso de MySQL Enterprise Monitor, por ejmplo y llevar a cabo una denegación de servicio en MySQL Server.

 

Los fallos se dan en varios componentes de múltiples productos y como es habitual la lista completa de productos afectados es cada vez más extensa. Se concreta en las siguientes familias:

Application Express, versiones anteriores a 5.1.4.00.08
Agile Material y Equipment Management for Pharmaceuticals, versiones 9.3.3, 9.3.4
Converged Commerce, versión 16.0.1
Hyperion BI+, versión 11.1.2.4
Hyperion Data Relationship Management, versión 11.1.2.4.330
Integrated Lights Out Manager (ILOM), versiones 3.x, 4.x
Java Advanced Management Console, versión 2.8
Java ME SDK, versión 8.3
JD Edwards EnterpriseOne Tools, versión 9.2
MICROS Handheld Terminal, versiones anteriores a BSP 02.13.0701 (070116)
MICROS Relate CRM Software, versiones 10.8.x, 11.4.x, 15.0.x
MICROS Retail XBRi Loss Prevention, versiones 10.0.1, 10.5.0, 10.6.0, 10.7.0, 10.8.0, 10.8.1
MySQL Connectors, versiones 5.3.9, 6.9.9, 6.10.4 y sus versiones anteriores.
MySQL Enterprise Monitor, versiones 3.3.6.3293, 3.4.4.4226, 4.0.0.5135 y sus versiones anteriores.
MySQL Server, versions 5.5.58, 5.6.38, 5.7.20 y sus versiones anteriores.
Oracle Access Manager, versiones 10.1.4.3.0, 11.1.2.3.0
Oracle Agile Engineering Data Management, PLM, PLM MCAD
Oracle Argus Safety, versiones 7.x, 8.0.x, 8.1
Oracle Autovue for Agile Product Lifecycle Management, versiones 21.0.0, 21.0.1
Oracle Banking Corporate Lending, versiones 12.3.0, 12.4.0
Oracle Banking Payments, versiones 12.3.0, 12.4.0
Oracle Business Intelligence Enterprise Edition, versiones 11.1.1.7.0, 11.1.1.9.0, 12.2.1.2.0, 12.2.1.3.0
Oracle Communications
Oracle Database Server, versiones 11.2.0.4, 12.1.0.2, 12.2.0.1
Oracle Directory Server Enterprise Edition, versión 11.1.1.7.0
Oracle E-Business Suite, versiones 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4, 12.2.5, 12.2.6, 12.2.7
Oracle Endeca Information Discovery Integrator, versiones 3.1.0, 3.2.0
Oracle Financial Services
Oracle FLEXCUBE
Oracle Fusion Applications, versiones 11.1.2 hasta la 11.1.9
Oracle Fusion Middleware, versiones 11.1.1.7, 11.1.1.9, 11.1.2.3, 12.1.3.0, 12.2.1.2, 12.2.1.3
Oracle Health Sciences Empirica
Oracle Hospitality
Oracle HTTP Server, versiones 11.1.1.7.0, 11.1.1.9.0, 12.1.3.0.0, 12.2.1.2.0, 12.2.1.3.0
Oracle Hyperion Planning, versión 11.1.2.4.007
Oracle Identity Manager
Oracle Internet Directory, versiones 11.1.1.7.0, 11.1.1.9.0, 12.2.1.3.0
Oracle iPlanet Web Server, versión 7.0
Oracle Java SE, versiones 6u171, 7u161, 8u152, 9.0.1
Oracle Java SE Embedded, versión 8u151
Oracle JDeveloper, versions 11.1.1.2.4, 11.1.1.7.0, 11.1.1.7.1, 11.1.1.9.0, 11.1.2.4.0, 12.1.3.0.0, 12.2.1.2.0
Oracle JRockit, versión R28.3.16
Oracle Mobile Security Suite, versión 3.0.1
Oracle Retail Assortment Planning, versión 14.1.3, 15.0.3, 16.0.1
Oracle Retail Convenience y Fuel POS Software, versión 2.1.132
Oracle Retail Customer Management y Segmentation Foundation, versiones 10.8.x, 11.4.x, 15.0.x, 16.0.x
Oracle Retail Fiscal Management, versión 14.1
Oracle Retail Merchandising System, versión 16.0
Oracle Retail Workforce Management, versiones 1.60.7, 1.64.0
Oracle Secure Global Desktop (SGD), versión 5.3
Oracle Transportation Management, versiones 6.2.11, 6.3.1, 6.3.2, 6.3.3, 6.3.4, 6.3.5, 6.3.6, 6.3.7, 6.4.1, 6.4.2, 6.4.3
Oracle Tuxedo System and Applications Monitor, versión 12.1.3.0.0
Oracle VM VirtualBox, versiones anteriores a 5.1.32, y 5.2.6
Oracle WebCenter Content, Portal, Sites y Server
Oracle X86 Servers, versiones SW 1.x, SW 2.x
OSS Support Tools, versiones anteriores a 2.11.33
PeopleSoft Enterprise FIN, FSCM, HCM, PRTL, SCM y PeopleTools
Primavera Unifier, versions 10.x, 15.x, 16.x, 17.x
Siebel Applications, versions 16.0, 17.0
Solaris, versiones 10, 11.3
Sun ZFS Storage Appliance Kit (AK), versiones anteriores a 8.7.13
A parte del listado comentado anteriormente, cabe destacar dos vulnerabilidades en el motor de base de datos MySQL:

La primera de ellas, CVE-2017-12617, para MySQL Enterprise Monitor, podría permitir a un usuario remoto sin autenticar hacerse con el control del sistema de base de datos.

La segunda de ellas, con el CVE-2018-2703, afectaría al plugin de autenticación sha256_password, y podría habilitar a un atacante remoto llevar a cabo una denegación de servicio en la fase de autenticación a través de un password especialmente grande.

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial del boletín de Enero.

Ver información original al respecto en Fuente:

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies