[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE-----
--------------------------------------------------------------------
UNAM-CERT
Departamento de Seguridad en Computo
DGSCA - UNAM
Boletín de Seguridad UNAM-CERT 2004-017
Múltiples Vulnerabilidades en Productos de Oracle
----------------------------------------------------------------------
El CERT/UNAM-CERT, a través de sus equipos de respuesta a
incidentes de Seguridad en Cómputo, han emitido éste boletín donde
informan sobre la existencia de diversas vulnerabilidades en el Servidor
de Bases de Datos Oracle, Application Server y el software Enterprise
Manager. La vulnerabilidad más seria podría permitir a un intruso
ejecutar código arbitrario de forma remota en un sistema afectado.
La Suite de Colaboración de Oracle y la Suite E-Business 11i contienen
el software vulnerable y también son afectadas.
Fecha de liberación: 1 de Septiembre de 2004
Ultima Revisión: 2 de Septiembre de 2004
Fuente: CERT/CC y diversos reportes de
Equipos de Respuesta a Incidentes,
así como Foros y Listas de
Discusión.
Sistemas Afectados
==================
Las siguientes aplicaciones de Oracle son afectadas:
* Oracle Database 10g Release 1, versión 10.1.0.2
* Oracle9i Database Server Release 2, versiones 9.2.0.4 y 9.2.0.5
* Oracle9i Database Server Release 1, versiones 9.0.1.4, 9.0.1.5 y 9.0.4
* Oracle8i Database Server Release 3, versión 8.1.7.4
* Oracle Enterprise Manager Grid Control 10g, versión 10.1.0.2
* Oracle Enterprise Manager Database Control 10g, versión 10.1.0.2
* Oracle Application Server 10g (9.0.4), versiones 9.0.4.0 y 9.0.4.1
* Oracle9i Application Server Release 2, versiones 9.0.2.3 y 9.0.3.1
* Oracle9i Application Server Release 1, versión 1.0.2.2
También el software de Oracle, Collaboration Suite y E-Business Suite 11i
contienen algunos de los componentes vulnerables y también son afectados.
De acuerdo con Oracle, las siguientes liberaciones y versiones de producto,
y todas las liberaciones y versiones futuras no son afectadas:
* Oracle Database 10g Release 1, versión 10.1.0.3
* Oracle Enterprise Manager Grid Control 10g, versión 10.1.0.3 (aún no
disponible).
* Oracle Application Server 10g (9.0.4), versión 9.0.4.2 (aún no
disponible).
I. Descripción
==============
Han sido reportadas diversas vulnerabilidades en el software de Servidor
de Bases de Datos, Application Server y Enterprise Manager de Oracle. De
acuerdo a estos reportes, diversas vulnerabilidades de buffer overflow,
de formato de cadena, de inyección de SQL y otros tipos de
vulnerabilidades han sido descubiertas y reportadas a Oracle.
Oracle ha liberado la Alerta de Seguridad #68 (pdf) para manejar estas
vulnerabilidades. También se está dando seguimiento a las siguientes
vulnerabilidades:
* VU#170830 - Enterprise Manager de Oracle contiene diversas
vulnerabilidades.
http://www.kb.cert.org/vuls/id/170830
* VU#316206 - Servidor de Bases de Datos de Oracle contiene diversas
vulnerabilidades.
http://www.kb.cert.org/vuls/id/316206
* VU#435974 - Application Server de Oracle contiene diversas
vulnerabilidades.
http://www.kb.cert.org/vuls/id/435974
Conforme este disponible mayor información, se actualizarán estas notas
apropiadamente.
II. Impacto
===========
No son claros los impactos de las vulnerabilidades descritas
anteriormente.
De acuerdo a reportes confiables, el impacto de estas vulnerabilidades
va en un rango de ejecución no autentificada de código arbitrario de
forma remota a la corrupción o fuga de información.
III. Solución
=============
* Aplicar un parche o una actualización.
Aplicar el parche apropiado o actualizar como se especifica
en la Alerta de Seguridad #68 (pdf)
<http://www.oracle.com/technology/deploy/security/pdf/2004alert68.pdf>.
Las organizaciones que utilicen el software de Oracle Collaboration
Suite ó E-Business Suite 11i deben consultar las instrucciones
recomendadas en Alerta de Seguridad #68 (pdf) de Oracle.
Apéndice A - Referencias
========================
* Alerta de Seguridad de Oracle #68 (pdf) -
< http://www.oracle.com/technology/deploy/security/pdf/2004alert68.pdf>
* Nota de Vulnerabilidad del US-CERT VU#316206 -
<http://www.kb.cert.org/vuls/id/316206>
* Nota de Vulnerabilidad del US-CERT VU#435974 -
<http://www.kb.cert.org/vuls/id/435974>
* Nota de Vulnerabilidad del US-CERT VU#170830 -
<http://www.kb.cert.org/vuls/id/170830>
------------------------------------------------------------------------
Autores de la Versión Original: Jason A. Rafail.
------------------------------------------------------------------------
El Departamento de Seguridad en Computo/UNAM-CERT agradece el apoyo
en la elaboración, revisión y traducción de este boletín a:
* Fernando Zaragoza Hernández (fzaragoz en seguridad.unam.mx)
------------------------------------------------------------------------
Información
===========
Éste documento se encuentra disponible en su formato original en la
siguiente dirección:
http://www.us-cert.gov/cas/techalerts/TA04-245A.html
La versión en español del documento se encuentra disponible en:
http://www.seguridad.unam.mx/
http://www.unam-cert.unam.mx/Boletines/Boletines2004/boletin-UNAM-CERT-2004-017.html
Para mayor información acerca de éste boletín de seguridad contactar a:
UNAM CERT
Equipo de Respuesta a Incidentes UNAM
Departamento de Seguridad en Cómputo
DGSCA - UNAM
E-Mail : unam-cert en seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel : 56 22 81 69
Fax : 56 22 80 43
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8
iQEVAwUBQTa7DXAvLUtwgRsVAQE0ngf/SnvxEe6Orc8XhOF4sE5qcF95EVtsLHpp
T5j1WjnKIaiMNdRGZCoZ8TgE5OP+78fob3FEDP17pF3KyrSQsq4tT9ngqV53xTvz
qAI4GR+5aOvFOtmYd1c8E/KNW4OLv8V7+mhkAJHbRs2BiSNU0DZ+6PG5LwJoSHrj
3i7xn7zn9uZ4F7rPv6qkl6dXkY1oILCgMhJAtTG0uMfWMQX87yesNmcowKM0LBiV
X84uAlsTYnAzJN9HaGtnqNsYNX7g96cCTWwMkhDqnXOdDfI2yeWNocTHusPsR1BH
d6zrYuvPsfIZQUvyJrc91UmV6NlIIiO3I5MVUwkg4ukd6cJQCoKpCA==
=dSa7
-----END PGP SIGNATURE-----