Coordinación de Seguridad de la Información

Coordinación de Seguridad de la Información

Información y servicios de seguridad en cómputo

1 2 3 4 5 6 7

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Boletin de Seguridad UNAM-CERT-2007-025 Actualizaciones de Oracle para múltiples vulnerabilidades

Los productos y componentes de Oracle son afectados por múltiples vulnerabilidades. Los impactos de estas vulnerabilidades incluyen la ejecución remota de código, revelación de información y negación de servicio.

  • Fecha de Liberación: 17-Oct-2007
  • Ultima Revisión: 18-Oct-2007
  • Fuente: CERT/CC y diversos reportes de Equipos de Respuesta a Incidentes, así como foros y listas de discusión.
  • Riesgo Crítico
  • Problema de Vulnerabilidad Remoto
  • Tipo de Vulnerabilidad Múltiples vulnerabilidades
  1. Sistemas afectados

    • Oracle Database 10g
    • Oracle 9i Database
    • Oracle Enterprise Manager 10g Database Control
    • Oracle Application Server 10g
    • Oracle Collaboration Suite 10g
    • Oracle PeopleSoft Enterprise
    • Oracle E-Business Suite
    • Oracle PeopleSoft Enterprise Human Capital Management

    Para mayor informacin relacionada con los productos afectados, consulte Actualizacin de Parches Crticos - Octubre de 2007 de Oracle.

  2. Descripción

    Oracle ha liberado su Actualización de Parches Críticos – Octubre de 2007. Esta actualización soluciona más de cuarenta vulnerabilidades en diferentes productos y componentes.

    La Actualización de Parches Críticos proporciona información sobre los componentes afectados, acceso y autorización requerida y el impacto desde vulnerabilidades en confidencialidad, integridad y disponibilidad de datos. Los usuarios de MetaLink deberían referenciar a la Nota de MetaLink 394487.1 (inicio de sesión requerido) para mayor información en los términos utilizados en la Actualización de Parches Críticos.

    De acuerdo a Oracle, ninguna de las vulnerabilidades corregidas en la Actualización de Parches Críticos de Oracle afecta solamente las instalaciones del Cliente de Base de Datos de Oracle.

    En la mayoría de los casos, Oracle no asocia identificadores Vuln# (por ejemplo, DB01) con otra información disponible. Si llegan a estar disponibles detalles adicionales sobre las vulnerabilidades y técnicas de solución, el US-CERT actualizará su Base de Datos de Notas de Vulnerabilidad .

  3. Impacto

    El impacto de estas vulnerabilidades varía dependiendo del producto, componente y configuración del sistema. Consecuencias potenciales incluyen la ejecución de código arbitrario o comandos, revelación de información y negación de servicio. Los componentes vulnerables podrían estar disponibles para atacantes remotos no autenticados. Un atacante que comprometa una base de datos de Oracle podría ser capaz de obtener acceso a información sensitiva.

  4. Solución

    Aplicar un parche

    Aplicar los parches o actualizaciones apropiadas como se especifica en la Actualización de Parches Críticos – Octubre de 2007 de Oracle. Debe notar que esta Actualización de Parches Críticos solo lista los problemas corregidos recientemente. Las actualizaciones para parchar los problemas conocidos previamente no están listadas.

    Como se hace notar en la actualización, algunos parches son acumulativos, otros no lo son:

      Los parches para Oracle Database, Oracle Application Server, Oracle Enterprise Manager Grid Control, Oracle Collaboration Suite, JD Edwards EnterpriseOne and OneWorld Tools, y PeopleSoft Enterprise Portal Applications en las Actualizaciones son acumulativos; cada Actualización de Parche Critico contiene las soluciones de las Actualizaciones de Parches Críticos anteriores.

      Los parches para Oracle Database, Oracle Application Server, Oracle Enterprise Manager Grid Control, Oracle Collaboration Suite, JD Edwards EnterpriseOne and OneWorld Tools, y PeopleSoft Enterprise Portal Applications en las Actualizaciones son acumulativos; cada Actualización de Parches Criticos contiene las soluciones de las Actualizaciones de Parches Críticos anteriores.

      Los parches para Oracle E-Business Suite and Applications no son acumulativos, por lo que los usuarios de E-Business Suite and Applications deberían referirse a las Actualizaciones de Parches Críticos previas para identificar las soluciones anteriores que necesitan aplican.

    Los parches para algunas plataformas y componentes no estuvieron disponibles cuando la Actualización de Parches Críticos fue publicada el 17 de octubre de 2007. Consulte la Nota de MetaLink 360465.1 (inicio de sesión requerido) para mayor información.

    Los problemas conocidos con los parches de Oracle están documentados en las notas de preinstalación y los archivos readme de los parches. Consulte estos documentos específicos para su sistema antes de aplicar los parches.

  5. Apéndice A. Información del distribuidor

    Oracle

    Consulte la Actualización de Parches Críticos – Octubre de 2007 y Actualizaciones de Parches Críticos y Aletas de Seguridad.

  6. Apéndice B. Referencias

    • Actualización de Parches Críticos – Octubre de 2007 - http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2007.html>
    • Actualizaciones de Parches Críticos y Aletas de Seguridad - http://www.oracle.com/technology/deploy/security/alerts.htm>
    • Mapeo de Vulnerabilidades Publicas a Avisos/Alertas - http://www.oracle.com/technology/deploy/security/pdf/public_vuln_to_advisory_mapping.html>
    • Checklist de Seguridad de Base de Datos de Oracle (PDF) - http://www.oracle.com/technology/deploy/security/pdf/twp_security_checklist_db_database.pdf>
    • Nota de MetaLink 360465.1 (inicio de sesión) - https://metalink.oracle.com/metalink/plsql/f?p=200:37:386501049664454700::::p_database_id,p_id,p_template:Not,360465.1,0>
    • Detalles de la Actualización de Parches Críticos de Oracle de Octubre de 2007 - http://www.red-database-security.com/advisory/oracle_cpu_oct_2007.html>

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Jesús Ramón Jiménez Rojas (jrojas at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47


Universidad Nacional Autonoma de México AENOR LOGO FIRST LOGO Aviso legal |  Créditos |  Staff |  Acerca |  Contacto |  FTP |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT