Publicación trimestral de actualizaciones de Oracle correspondiente a su boletín de seguridad de julio 2013.

Contiene parches para 89 vulnerabilidades diferentes en múltiples productos pertenecientes a 12 familias diferentes, que van desde el popular gestor de base de datos Oracle Database hasta Solaris o MySQL. 

 
Los productos que reciben estas actualizaciones se encuentran en el siguiente listado: 
 
* Oracle Database
Oracle Database 11g Release 2, versiones 11.2.0.2 y 11.2.0.3 Oracle Database 11g Release 1, versión 11.1.0.7 Oracle Database 10g Release 2, versiones 10.2.0.4 y 10.2.0.5 
 
* Oracle Fusion Middleware
Oracle Access Manager, versiones 11.1.1.5.0, 11.1.1.7.0 y 11.1.2.0.0 Oracle Endeca Server, versiones 7.4.0 y 7.5.1.1 Oracle HTTP Server, versiones 10.1.3.5.0 Oracle JRockit, versiones R27.7.5 y anteriores, R28.2.7 y anteriores Oracle Outside In Technology, versiones 8.3.7, 8.4.0, 8.4.1 Oracle WebCenter Content, versiones 10.1.3.5.1, 11.1.1.6.0, 11.1.1.7.0 
 
* Oracle Hyperion
Oracle Hyperion BI, versiones 11.1.1.3, 11.1.1.4.107 y anteriores,
11.1.2.1.129 y anteriores, 11.1.2.2.305 y anteriores 
 
* Oracle Enterprise Manager Grid Control Enterprise Manager Plugin for Database 12c Release 1, versiones 12.1.0.2 y 12.1.0.3 Enterprise Manager Grid Control 11g Release 1, versión 11.1.0.1 Enterprise Manager Grid Control 10g Release 1, versión 10.2.0.5 
 
* Oracle E-Business Suite
Oracle E-Business Suite Release 12i, versiones 12.0.6, 12.1.1, 12.1.2 y 12.1.3
Oracle E-Business Suite Release 11i, versión 11.5.10.2 
 
* Oracle Supply Chain Products Suite
Oracle Agile Collaboration Framework, versión 9.3.1 Oracle Agile PLM Framework, versión 9.3.1 Oracle Agile Product Framework, versión 9.3.1 
 
* Oracle PeopleSoft
Oracle PeopleSoft Enterprise Portal, versión 9.1 Oracle PeopleSoft HRMS, versión 9.1 Oracle PeopleSoft PeopleTools, versiones 8.51, 8.52, 8.53 
 
* Oracle i iLearning
Oracle iLearning, versiones 5.2.1, 6.0 
 
* Oracle Industry Applications Product Suite Oracle Policy Automation, versiones 10.2.0, 10.3.0, 10.3.1, 10.4.0, 10.4.1 y 10.4.2 
 
* Oracle and Sun Systems Product Suite
Solaris Cluster 3.2, 3.3, 4 anteriores a 4.1 SRU 3 Solaris 8, 9, 10, 11 SPARC Enterprise M Series Servers XCP 1114 y anteriores 
 
* Oracle Linux and Virtualization
Oracle Secure Global Desktop, versiones 4.6 anteriores a 4.63 y 4.7 anteriores a 4.71 
 
* Oracle MySQL Product Suite
Oracle MySQL Server, versiones 5.1, 5.5 y 5.6 
 
La mayoría de las vulnerabilidades que aloja este boletín se catalogan en importancia media-baja. 
 

A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas: 
 
* Oracle Database
Se han publicado seis nuevos parches para Oracle Database Server. La más grave de todas puede ser exploitable de forma remota sin autenticación. 
Ninguna de los problemas afectan a instalaciones de la parte de solo-cliente (instalaciones que no tengan instalado Oracle Database Server). Incluye la vulnerabilidad (CVE-2013-3751) de mayor impacto (con una puntuación CVSS de 9.0) de todas las corregidas. 
 
* Oracle Fusion Middleware
Esta actualización soluciona 21 vulnerabilidades en Oracle Fusion Middleware. 16 de ellas pueden explotarse de forma remota sin autenticación. 
 
* Oracle Hyperion
Incluye un nuevo parche para Oracle Hyperion. Esta solo puede explotarse por usuarios autenticados, para acceder a datos de los sistemas afectados. 
 
* Enterprise Manager Grid Control
En esta actualización se incluye la corrección de dos nuevas vulnerabilidades (CVE-2013-3758 y CVE-2013-3791) en Oracle Enterprise Manager Grid Control. Ambos problemas pueden explotarse de forma remota sin autenticación y no afectan a instalaciones solo-cliente, y podrían permitir .la modificación de datos en los sistemas afectados. 
 
* E-Business Suite
Incluye siete nuevos parches para Oracle E-Business Suite. Cuatro de las vulnerabilidades pueden explotarse de forma remota sin autenticación. 
 
* Oracle Supply Chain
Se corrigen cuatro nuevas vulnerabilidades en Oracle Supply Chain Products Suite, solo una de ellas puede explotarse de forma remota sin autenticación. 
 
* PeopleSoft
Se solucionan 10 nuevas vulnerabilidades, todas relacionadas con el protocolo HTTP. Ocho de ellas pueden explotarse de forma remota sin necesidad de credenciales. 
 
* Oracle iLearning
Se corrige una vulnerabilidad en Oracle iLearning explotable de forma remota sin autenticación. 
 
* Oracle Industry Applications
Se corrige una vulnerabilidad en Oracle Industry Applications (explotable de forma local con autenticación). 
 
* Oracle Sun Products
Se solucionan 16 nuevas vulnerabilidades, principalmente afectan todas ellas a diferentes versiones de Solaris (desde la versión 8 a la 11). 
Ocho de ellas pueden explotarse de forma remota sin necesidad de credenciales. 
 
* Oracle Virtualization
En esta actualización se incluye la corrección de dos nuevas vulnerabilidades en el componente Secure Global Desktop a través de http. Ambos problemas pueden explotarse de forma remota sin autenticación 
 
* Oracle MySQL Product Suite
Se solucionan 18 nuevas vulnerabilidades en MySQL Server, en su mayoría denegaciones de servicio que podrían afectar solo a la aplicación o al sistema al completo. Si bien solo dos de los problemas pueden explotarse de forma remota sin autenticación. 
 
Para más información sobre las vulnerabilidades solucionadas y la aplicación de los parches, se recomienda visitar el sitio oficial del boletín. 
http://www.oracle.com/technetwork/topics/security/cpujuly2013-1899826.html
 
Opina sobre esta noticia: 
http://unaaldia.hispasec.com/2013/07/oracle-corrige-89-vulnerabilidades-en.html#comments
 
Más información:
 
Oracle Critical Patch Update Advisory – July 2013
http://www.oracle.com/technetwork/topics/security/cpujuly2013-1899826.html

Fuente:
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Logotipos/Imágenes/Texto MR Respectiva/s Compañía/s mencionada/s en la noticia.
Portal de Seguridad Informática, Tecnología e Internet
Descargas Antivirus/Antimalware
www.antivirusgratis.com.ar