La compañía de software Oracle publica su boletín de seguridad de abril 2014. Contiene parches para 104 vulnerabilidades diferentes en cientos de productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos …

 … Oracle Database hasta Solaris o MySQL. 

 
Los fallos se dan en varios componentes de los productos: 
 
* Oracle Database 11g Release 1, versión 11.1.0.7
* Oracle Database 11g Release 2, versiones 11.2.0.3 y 11.2.0.4
* Oracle Database 12c Release 1, versión 12.1.0.1
* Oracle Fusion Middleware 11g Release 1, versiones 11.1.1.7 y 11.1.1.8
* Oracle Fusion Middleware 12c Release 1, versiones 12.1.1.0 y 12.1.2.0
* Oracle Fusion Applications, versiones 11.1.2 hasta la 11.1.8
* Oracle Access Manager, versiones 10.1.4.3, 11.1.1.3.0, 11.1.1.5.0, 11.1.1.7.0, * 11.1.2.0.0, 11.1.2.1.0 y 11.1.2.2.0
* Oracle Containers for J2EE, versión 10.1.3.5
* Oracle Data Integrator, versión 11.1.1.3.0
* Oracle Endeca Server, versión 2.2.2
* Oracle Event Processing, versión 11.1.1.7.0
* Oracle Identity Analytics, versión 11.1.1.5, Sun Role Manager, versión 5.0
* Oracle OpenSSO, versión 8.0 Update 2 Patch 5
* Oracle OpenSSO Policy Agent, versión 3.0-03
* Oracle WebCenter Portal, versiones 11.1.1.7 y 11.1.1.8
* Oracle WebLogic Server, versiones 10.0.2.0, 10.3.6.0, 12.1.1.0 y 12.1.2.0
* Oracle Hyperion Common Admin, versiones 11.1.2.2 y 11.1.2.3
* Oracle E-Business Suite Release 11i y 12i
* Oracle Agile PLM Framework, versiones 9.3.1.1 y 9.3.3.0
* Oracle Agile Product Lifecycle Management for Process, versiones  6.0.0.7 y 6.1.1.3
* Oracle Transportation Management, versiones 6.3 y 6.3.4
* Oracle PeopleSoft Enterprise CS Campus Self Service, versión 9.0
* Oracle PeopleSoft Enterprise HRMS Talent Acquisition Manager,  versiones 8.52 y 8.53
* Oracle PeopleSoft Enterprise PT Tools, versiones 8.52 y 8.53
* Oracle Siebel UI Framework, versiones 8.1.1 y 8.2.2
* Oracle iLearning, versiones 6.0 y 6.1
* Oracle JavaFX, versión 2.2.51
* Oracle Java SE, versiones 5.0u61, 6u71, 7u51 y 8
* Oracle Java SE Embedded, versión 7u51
* Oracle JRockit, versiones R27.8.1 y R28.3.1
* Oracle Solaris, versiones 9, 10 y 11.1
* Oracle Secure Global Desktop, versiones 4.63, 4.71, 5.0 y 5.1
* Oracle VM VirtualBox, versiones anteriores a 3.2.22, 4.0.24, 4.1.32, 4.2.24 y 4.3.10
* Oracle MySQL Server, versiones 5.5 y 5.6 
 

A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas: 
 
* Dos nuevas vulnerabilidades corregidas en Oracle Database Server, que afectan al componente Core RDBMS. 
 
* Otras 20 vulnerabilidades afectan a Oracle Fusion Middleware. 13 de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Oracle Access Manager, Oracle Containers for J2EE, Oracle Data Integrator, Oracle Endeca Server, Oracle Event Processing, Oracle Identity Analytics, Oracle OpenSSO, Oracle WebCenter Portal y Oracle WebLogic Server. 
 
* Tres actualizaciones afectan a Oracle Hyperion, dos de ellas podrían ser explotadas por un atacante remoto sin autenticar. El todos los casos el componente afectado es Hyperion Common Admin. 
 
* Dentro de Oracle Applications, 10 parches son para Oracle Supply Chain Products Suite, ocho para productos Oracle PeopleSoft, uno para Oracle Siebel CRM y uno para iLearning. 
 
* En lo referente a Oracle Java SE se incluyen 37 nuevos parches de seguridad. 35 de las vulnerabilidades podrían ser explotadas por un atacante remoto sin autenticar. 
 
* 14 nuevas vulnerabilidades afectan a MySQL Server, dos de ellas explotables de forma remota sin autenticación. Los componentes 
 
* Esta actualización también incluye tres parches que afectan a Solaris en sus versiones 9, 10 y 11.1 aunque ninguno de ellos es explotable remotamente sin autenticación (uno de ellos solo afecta a las plataformas SPARC64-X). 
 
Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial en: 
Oracle Critical Patch Update Advisory – April 2014 http://www.oracle.com/technetwork/topics/security/cpuapr2014-1972952.html
 
Opina sobre esta noticia: 
http://unaaldia.hispasec.com/2014/04/oracle-corrige-104-vulnerabilidades-en.html#comments
 
Más información:
 
Oracle Critical Patch Update Advisory – April 2014
http://www.oracle.com/technetwork/topics/security/cpuapr2014-1972952.html

Fuente:
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Logotipos/Imágenes/Texto MR Respectiva/s Compañía/s mencionada/s en la noticia.
Portal de Seguridad Informática, Tecnología e Internet
Descargas Antivirus/Antimalware
www.antivirusgratis.com.ar