Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica su boletín de seguridad de enero. Contiene parches para 237 vulnerabilidades diferentes, en múltiples productos y de diferentes familias: algunas de ellas podrían permitir a un atacante remoto sin autenticar hacerse con el control del sistema en el caso de MySQL Enterprise Monitor, por ejemplo y llevar a cabo una denegación de servicio en MySQL Server.

Los fallos se dan en varios componentes de múltiples productos y como es habitual la lista completa de productos afectados es cada vez más extensa.

Se concreta en las siguientes familias:

  • Application Express, versiones anteriores a 5.1.4.00.08
  • Agile Material y Equipment Management for Pharmaceuticals, versiones 9.3.3, 9.3.4
  • Converged Commerce, versión 16.0.1
  • Hyperion BI+, versión 11.1.2.4
  • Hyperion Data Relationship Management, versión 11.1.2.4.330
  • Integrated Lights Out Manager (ILOM), versiones 3.x, 4.x
  • Java Advanced Management Console, versión 2.8
  • Java ME SDK, versión 8.3
  • JD Edwards EnterpriseOne Tools, versión 9.2
  • MICROS Handheld Terminal, versiones anteriores a BSP 02.13.0701 (070116)
  • MICROS Relate CRM Software, versiones 10.8.x, 11.4.x, 15.0.x
  • MICROS Retail XBRi Loss Prevention, versiones 10.0.1, 10.5.0, 10.6.0, 10.7.0, 10.8.0, 10.8.1
  • MySQL Connectors, versiones 5.3.9, 6.9.9, 6.10.4 y sus versiones anteriores.
  • MySQL Enterprise Monitor, versiones 3.3.6.3293, 3.4.4.4226, 4.0.0.5135 y sus versiones anteriores.
  • MySQL Server, versions 5.5.58, 5.6.38, 5.7.20 y sus versiones anteriores.
  • Oracle Access Manager, versiones 10.1.4.3.0, 11.1.2.3.0
  • Oracle Agile Engineering Data Management, PLM, PLM MCAD
  • Oracle Argus Safety, versiones 7.x, 8.0.x, 8.1
  • Oracle Autovue for Agile Product Lifecycle Management, versiones 21.0.0, 21.0.1
  • Oracle Banking Corporate Lending, versiones 12.3.0, 12.4.0
  • Oracle Banking Payments, versiones 12.3.0, 12.4.0
  • Oracle Business Intelligence Enterprise Edition, versiones 11.1.1.7.0, 11.1.1.9.0, 12.2.1.2.0, 12.2.1.3.0
  • Oracle Communications
  • Oracle Database Server, versiones 11.2.0.4, 12.1.0.2, 12.2.0.1
  • Oracle Directory Server Enterprise Edition, versión 11.1.1.7.0
  • Oracle E-Business Suite, versiones 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4, 12.2.5, 12.2.6, 12.2.7
  • Oracle Endeca Information Discovery Integrator, versiones 3.1.0, 3.2.0
  • Oracle Financial Services
  • Oracle FLEXCUBE
  • Oracle Fusion Applications, versiones 11.1.2 hasta la 11.1.9
  • Oracle Fusion Middleware, versiones 11.1.1.7, 11.1.1.9, 11.1.2.3, 12.1.3.0, 12.2.1.2, 12.2.1.3
  • Oracle Health Sciences Empirica
  • Oracle Hospitality
  • Oracle HTTP Server, versiones 11.1.1.7.0, 11.1.1.9.0, 12.1.3.0.0, 12.2.1.2.0, 12.2.1.3.0
  • Oracle Hyperion Planning, versión 11.1.2.4.007
  • Oracle Identity Manager
  • Oracle Internet Directory, versiones 11.1.1.7.0, 11.1.1.9.0, 12.2.1.3.0
  • Oracle iPlanet Web Server, versión 7.0
  • Oracle Java SE, versiones 6u171, 7u161, 8u152, 9.0.1
  • Oracle Java SE Embedded, versión 8u151
  • Oracle JDeveloper, versions 11.1.1.2.4, 11.1.1.7.0, 11.1.1.7.1, 11.1.1.9.0, 11.1.2.4.0, 12.1.3.0.0, 12.2.1.2.0
  • Oracle JRockit, versión R28.3.16
  • Oracle Mobile Security Suite, versión 3.0.1
  • Oracle Retail Assortment Planning, versión 14.1.3, 15.0.3, 16.0.1
  • Oracle Retail Convenience y Fuel POS Software, versión 2.1.132
  • Oracle Retail Customer Management y Segmentation Foundation, versiones 10.8.x, 11.4.x, 15.0.x, 16.0.x
  • Oracle Retail Fiscal Management, versión 14.1
  • Oracle Retail Merchandising System, versión 16.0
  • Oracle Retail Workforce Management, versiones 1.60.7, 1.64.0
  • Oracle Secure Global Desktop (SGD), versión 5.3
  • Oracle Transportation Management, versiones 6.2.11, 6.3.1, 6.3.2, 6.3.3, 6.3.4, 6.3.5, 6.3.6, 6.3.7, 6.4.1, 6.4.2, 6.4.3
  • Oracle Tuxedo System and Applications Monitor, versión 12.1.3.0.0
  • Oracle VM VirtualBox, versiones anteriores a 5.1.32, y 5.2.6
  • Oracle WebCenter Content, Portal, Sites y Server
  • Oracle X86 Servers, versiones SW 1.x, SW 2.x
  • OSS Support Tools, versiones anteriores a 2.11.33
  • PeopleSoft Enterprise FIN, FSCM, HCM, PRTL, SCM y PeopleTools
  • Primavera Unifier, versions 10.x, 15.x, 16.x, 17.x
  • Siebel Applications, versions 16.0, 17.0
  • Solaris, versiones 10, 11.3
  • Sun ZFS Storage Appliance Kit (AK), versiones anteriores a 8.7.13

A parte del listado comentado anteriormente, cabe destacar dos vulnerabilidades en el motor de base de datos MySQL:

  • La primera de ellas, CVE-2017-12617, para MySQL Enterprise Monitor, podría permitir a un usuario remoto sin autenticar hacerse con el control del sistema de base de datos.
  • La segunda de ellas, con el CVE-2018-2703, afectaría al plugin de autenticación sha256_password, y podría habilitar a un atacante remoto llevar a cabo una denegación de servicio en la fase de autenticación a través de un password especialmente grande.

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial del boletín de Enero.

 

Fuente: segu-info.com.ar

Compartir