Oracle corrige 237 vulnerabilidades en su boletín de Enero

Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica su boletín de seguridad de enero. Contiene parches para 237 vulnerabilidades diferentes, en múltiples productos y de diferentes familias: algunas de ellas podrían permitir a un atacante remoto sin autenticar hacerse con el control del sistema en el caso de MySQL Enterprise Monitor, por ejemplo y llevar a cabo una denegación de servicio en MySQL Server.

Los fallos se dan en varios componentes de múltiples productos y como es habitual la lista completa de productos afectados es cada vez más extensa.

Se concreta en las siguientes familias:

Application Express, versiones anteriores a 5.1.4.00.08
Agile Material y Equipment Management for Pharmaceuticals, versiones 9.3.3, 9.3.4
Converged Commerce, versión 16.0.1
Hyperion BI+, versión 11.1.2.4
Hyperion Data Relationship Management, versión 11.1.2.4.330
Integrated Lights Out Manager (ILOM), versiones 3.x, 4.x
Java Advanced Management Console, versión 2.8
Java ME SDK, versión 8.3
JD Edwards EnterpriseOne Tools, versión 9.2
MICROS Handheld Terminal, versiones anteriores a BSP 02.13.0701 (070116)
MICROS Relate CRM Software, versiones 10.8.x, 11.4.x, 15.0.x
MICROS Retail XBRi Loss Prevention, versiones 10.0.1, 10.5.0, 10.6.0, 10.7.0, 10.8.0, 10.8.1
MySQL Connectors, versiones 5.3.9, 6.9.9, 6.10.4 y sus versiones anteriores.
MySQL Enterprise Monitor, versiones 3.3.6.3293, 3.4.4.4226, 4.0.0.5135 y sus versiones anteriores.
MySQL Server, versions 5.5.58, 5.6.38, 5.7.20 y sus versiones anteriores.
Oracle Access Manager, versiones 10.1.4.3.0, 11.1.2.3.0
Oracle Agile Engineering Data Management, PLM, PLM MCAD
Oracle Argus Safety, versiones 7.x, 8.0.x, 8.1
Oracle Autovue for Agile Product Lifecycle Management, versiones 21.0.0, 21.0.1
Oracle Banking Corporate Lending, versiones 12.3.0, 12.4.0
Oracle Banking Payments, versiones 12.3.0, 12.4.0
Oracle Business Intelligence Enterprise Edition, versiones 11.1.1.7.0, 11.1.1.9.0, 12.2.1.2.0, 12.2.1.3.0
Oracle Communications
Oracle Database Server, versiones 11.2.0.4, 12.1.0.2, 12.2.0.1
Oracle Directory Server Enterprise Edition, versión 11.1.1.7.0
Oracle E-Business Suite, versiones 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4, 12.2.5, 12.2.6, 12.2.7
Oracle Endeca Information Discovery Integrator, versiones 3.1.0, 3.2.0
Oracle Financial Services
Oracle FLEXCUBE
Oracle Fusion Applications, versiones 11.1.2 hasta la 11.1.9
Oracle Fusion Middleware, versiones 11.1.1.7, 11.1.1.9, 11.1.2.3, 12.1.3.0, 12.2.1.2, 12.2.1.3
Oracle Health Sciences Empirica
Oracle Hospitality
Oracle HTTP Server, versiones 11.1.1.7.0, 11.1.1.9.0, 12.1.3.0.0, 12.2.1.2.0, 12.2.1.3.0
Oracle Hyperion Planning, versión 11.1.2.4.007
Oracle Identity Manager
Oracle Internet Directory, versiones 11.1.1.7.0, 11.1.1.9.0, 12.2.1.3.0
Oracle iPlanet Web Server, versión 7.0
Oracle Java SE, versiones 6u171, 7u161, 8u152, 9.0.1
Oracle Java SE Embedded, versión 8u151
Oracle JDeveloper, versions 11.1.1.2.4, 11.1.1.7.0, 11.1.1.7.1, 11.1.1.9.0, 11.1.2.4.0, 12.1.3.0.0, 12.2.1.2.0
Oracle JRockit, versión R28.3.16
Oracle Mobile Security Suite, versión 3.0.1
Oracle Retail Assortment Planning, versión 14.1.3, 15.0.3, 16.0.1
Oracle Retail Convenience y Fuel POS Software, versión 2.1.132
Oracle Retail Customer Management y Segmentation Foundation, versiones 10.8.x, 11.4.x, 15.0.x, 16.0.x
Oracle Retail Fiscal Management, versión 14.1
Oracle Retail Merchandising System, versión 16.0
Oracle Retail Workforce Management, versiones 1.60.7, 1.64.0
Oracle Secure Global Desktop (SGD), versión 5.3
Oracle Transportation Management, versiones 6.2.11, 6.3.1, 6.3.2, 6.3.3, 6.3.4, 6.3.5, 6.3.6, 6.3.7, 6.4.1, 6.4.2, 6.4.3
Oracle Tuxedo System and Applications Monitor, versión 12.1.3.0.0
Oracle VM VirtualBox, versiones anteriores a 5.1.32, y 5.2.6
Oracle WebCenter Content, Portal, Sites y Server
Oracle X86 Servers, versiones SW 1.x, SW 2.x
OSS Support Tools, versiones anteriores a 2.11.33
PeopleSoft Enterprise FIN, FSCM, HCM, PRTL, SCM y PeopleTools
Primavera Unifier, versions 10.x, 15.x, 16.x, 17.x
Siebel Applications, versions 16.0, 17.0
Solaris, versiones 10, 11.3
Sun ZFS Storage Appliance Kit (AK), versiones anteriores a 8.7.13

A parte del listado comentado anteriormente, cabe destacar dos vulnerabilidades en el motor de base de datos MySQL:

La primera de ellas, CVE-2017-12617, para MySQL Enterprise Monitor, podría permitir a un usuario remoto sin autenticar hacerse con el control del sistema de base de datos.
La segunda de ellas, con el CVE-2018-2703, afectaría al plugin de autenticación sha256_password, y podría habilitar a un atacante remoto llevar a cabo una denegación de servicio en la fase de autenticación a través de un password especialmente grande.

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial del boletín de Enero.

Fuente: segu-info.com.ar

Fecha de lanzamiento de Ubuntu 19.04 y características planificadas

Cisco parchea el servicio bypass, vulnerabilidad en el sistema IOS

Fallo de omisión de autenticación de 2 factores reportado en el software cPanel y WHM.