[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE----- -------------------------------------------------------------------- UNAM-CERT Departamento de Seguridad en Computo DGSCA - UNAM Boletín de Seguridad UNAM-CERT 2004-017 Múltiples Vulnerabilidades en Productos de Oracle ---------------------------------------------------------------------- El CERT/UNAM-CERT, a través de sus equipos de respuesta a incidentes de Seguridad en Cómputo, han emitido éste boletín donde informan sobre la existencia de diversas vulnerabilidades en el Servidor de Bases de Datos Oracle, Application Server y el software Enterprise Manager. La vulnerabilidad más seria podría permitir a un intruso ejecutar código arbitrario de forma remota en un sistema afectado. La Suite de Colaboración de Oracle y la Suite E-Business 11i contienen el software vulnerable y también son afectadas. Fecha de liberación: 1 de Septiembre de 2004 Ultima Revisión: 2 de Septiembre de 2004 Fuente: CERT/CC y diversos reportes de Equipos de Respuesta a Incidentes, así como Foros y Listas de Discusión. Sistemas Afectados ================== Las siguientes aplicaciones de Oracle son afectadas: * Oracle Database 10g Release 1, versión 10.1.0.2 * Oracle9i Database Server Release 2, versiones 9.2.0.4 y 9.2.0.5 * Oracle9i Database Server Release 1, versiones 9.0.1.4, 9.0.1.5 y 9.0.4 * Oracle8i Database Server Release 3, versión 8.1.7.4 * Oracle Enterprise Manager Grid Control 10g, versión 10.1.0.2 * Oracle Enterprise Manager Database Control 10g, versión 10.1.0.2 * Oracle Application Server 10g (9.0.4), versiones 9.0.4.0 y 9.0.4.1 * Oracle9i Application Server Release 2, versiones 9.0.2.3 y 9.0.3.1 * Oracle9i Application Server Release 1, versión 1.0.2.2 También el software de Oracle, Collaboration Suite y E-Business Suite 11i contienen algunos de los componentes vulnerables y también son afectados. De acuerdo con Oracle, las siguientes liberaciones y versiones de producto, y todas las liberaciones y versiones futuras no son afectadas: * Oracle Database 10g Release 1, versión 10.1.0.3 * Oracle Enterprise Manager Grid Control 10g, versión 10.1.0.3 (aún no disponible). * Oracle Application Server 10g (9.0.4), versión 9.0.4.2 (aún no disponible). I. Descripción ============== Han sido reportadas diversas vulnerabilidades en el software de Servidor de Bases de Datos, Application Server y Enterprise Manager de Oracle. De acuerdo a estos reportes, diversas vulnerabilidades de buffer overflow, de formato de cadena, de inyección de SQL y otros tipos de vulnerabilidades han sido descubiertas y reportadas a Oracle. Oracle ha liberado la Alerta de Seguridad #68 (pdf) para manejar estas vulnerabilidades. También se está dando seguimiento a las siguientes vulnerabilidades: * VU#170830 - Enterprise Manager de Oracle contiene diversas vulnerabilidades. http://www.kb.cert.org/vuls/id/170830 * VU#316206 - Servidor de Bases de Datos de Oracle contiene diversas vulnerabilidades. http://www.kb.cert.org/vuls/id/316206 * VU#435974 - Application Server de Oracle contiene diversas vulnerabilidades. http://www.kb.cert.org/vuls/id/435974 Conforme este disponible mayor información, se actualizarán estas notas apropiadamente. II. Impacto =========== No son claros los impactos de las vulnerabilidades descritas anteriormente. De acuerdo a reportes confiables, el impacto de estas vulnerabilidades va en un rango de ejecución no autentificada de código arbitrario de forma remota a la corrupción o fuga de información. III. Solución ============= * Aplicar un parche o una actualización. Aplicar el parche apropiado o actualizar como se especifica en la Alerta de Seguridad #68 (pdf) <http://www.oracle.com/technology/deploy/security/pdf/2004alert68.pdf>. Las organizaciones que utilicen el software de Oracle Collaboration Suite ó E-Business Suite 11i deben consultar las instrucciones recomendadas en Alerta de Seguridad #68 (pdf) de Oracle. Apéndice A - Referencias ======================== * Alerta de Seguridad de Oracle #68 (pdf) - < http://www.oracle.com/technology/deploy/security/pdf/2004alert68.pdf> * Nota de Vulnerabilidad del US-CERT VU#316206 - <http://www.kb.cert.org/vuls/id/316206> * Nota de Vulnerabilidad del US-CERT VU#435974 - <http://www.kb.cert.org/vuls/id/435974> * Nota de Vulnerabilidad del US-CERT VU#170830 - <http://www.kb.cert.org/vuls/id/170830> ------------------------------------------------------------------------ Autores de la Versión Original: Jason A. Rafail. ------------------------------------------------------------------------ El Departamento de Seguridad en Computo/UNAM-CERT agradece el apoyo en la elaboración, revisión y traducción de este boletín a: * Fernando Zaragoza Hernández (fzaragoz en seguridad.unam.mx) ------------------------------------------------------------------------ Información =========== Éste documento se encuentra disponible en su formato original en la siguiente dirección: http://www.us-cert.gov/cas/techalerts/TA04-245A.html La versión en español del documento se encuentra disponible en: http://www.seguridad.unam.mx/ http://www.unam-cert.unam.mx/Boletines/Boletines2004/boletin-UNAM-CERT-2004-017.html Para mayor información acerca de éste boletín de seguridad contactar a: UNAM CERT Equipo de Respuesta a Incidentes UNAM Departamento de Seguridad en Cómputo DGSCA - UNAM E-Mail : unam-cert en seguridad.unam.mx http://www.cert.org.mx http://www.seguridad.unam.mx ftp://ftp.seguridad.unam.mx Tel : 56 22 81 69 Fax : 56 22 80 43 -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.8 iQEVAwUBQTa7DXAvLUtwgRsVAQE0ngf/SnvxEe6Orc8XhOF4sE5qcF95EVtsLHpp T5j1WjnKIaiMNdRGZCoZ8TgE5OP+78fob3FEDP17pF3KyrSQsq4tT9ngqV53xTvz qAI4GR+5aOvFOtmYd1c8E/KNW4OLv8V7+mhkAJHbRs2BiSNU0DZ+6PG5LwJoSHrj 3i7xn7zn9uZ4F7rPv6qkl6dXkY1oILCgMhJAtTG0uMfWMQX87yesNmcowKM0LBiV X84uAlsTYnAzJN9HaGtnqNsYNX7g96cCTWwMkhDqnXOdDfI2yeWNocTHusPsR1BH d6zrYuvPsfIZQUvyJrc91UmV6NlIIiO3I5MVUwkg4ukd6cJQCoKpCA== =dSa7 -----END PGP SIGNATURE-----