Oracle patcha 87 vulnerabilità che includono tutti i prodotti della società


Oracle (NSDQ: ORCL ) ha rilasciato un Critical Update Patch (CPU) di consulenza per luglio con un totale di 87 patch di sicurezza che comprendono tutto il portafoglio dei prodotti globali della società. Ci sono cinque vulnerabilità presenti nei prodotti database server di Oracle, quattro delle quali potrebbero consentire l'esecuzione di codice in modalità remota senza autenticazione. La vulnerabilità più importante riguarda Oracle JRockit, (CVE-2012-3135), che è elencata con un punteggio di base 10,0, il rating più alto e più critico a disposizione.

Altre correzioni importanti sono 22 falle in Oracle Fusion Middleware, 9 in PeopleSoft, 7 in Siebel e 21 in Solaris. Sono state stabilite inoltre sei falle in MySQL, per fortuna nessuna delle quali può causare l'esecuzione di codice in modalità remota. A proposito di questo aggiornamento Critical Patch (CPU), a differenza delle patch di Microsoft, Oracle conserva le sue per un comunicato stampa trimestrale. Due vulnerabilità nel bollettino sono valutati a 7,8 sulla stessa scala di 10. Le patch per uno qualsiasi dei prodotti Oracle sono cumulativi, cioè includono tutte le correzioni dei precedenti CPU.

"Questa è come una tempesta perfetta", ha detto Marcus Carey, ricercatore di sicurezza a Rapid7. Una vulnerabilità nella componente dei livelli di rete Server Database Oracle (CVE-2012-1745). Le versioni supportate interessate sono 10.2.0.3, 10.2.0.4, 10.2.0.5, 11.1.0.7, 11.2.0.2 e 11.2.0.3. Vulnerabilità facilmente sfruttabili permettono il successo degli attacchi di rete non autenticati tramite Oracle NET. L'attacco con successo di questa vulnerabilità può provocare un blocco o un crash frequentemente ripetibile (completo DOS) del livello di rete. CVSS Base punteggio 5.0 (impatti disponibilità).

Una vulnerabilità nel componente di Oracle Application Express Listener di Listener Oracle Application Express (CVE-2012-1740). Le versioni supportate interessate sono le 1.1, 1.1.1, 1.1.2 e 1.1.3. Vulnerabilità facilmente sfruttabili permettono il successo degli attacchi di rete non autenticati tramite HTTP. L'attacco con successo di questa vulnerabilità può causare non autorizzato accesso in lettura a qualsiasi posizione arbitraria del sistema operativo. Nota : il punteggio di base CVSS è 7.8 solo per Windows. Per Linux, Unix e altre piattaforme, il punteggio di base CVSS è di 5,0, e l'impatto per la riservatezza è parziale.

Listener Application Express è un prodotto Oracle che è indipendente da Application Express, non è parte della distribuzione Application Express e può essere ottenuto solo attraverso il download di OTN. Viene utilizzato come metodo alternativo per mettere in comunicazione TLS protetto tra Application Express e i client. Solo i clienti che hanno scelto di scaricare e installare questa applicazione separata devono applicare questa patch. Punteggio CVSS Base 7.8 (impatti di riservatezza).

Una vulnerabilità nel componente Apache di Oracle Secure Backup, (CVE-2011-3192). Le versioni supportate interessate sono 10.3.0.3 e 10.4.0.1. Vulnerabilità facilmente sfruttabili permettono il successo degli attacchi di rete non autenticati tramite HTTP. L'attacco con successo di questa vulnerabilità può provocare il blocco non autorizzato del sistema operativo o un crash frequentemente ripetibile (completo DOS). Punteggio di base CVSS 7.8 (impatti disponibilità).

Una vulnerabilità nel componente di Oracle HTTP Server di Oracle Fusion Middleware (sottocomponente: Listener Web), (CVE-2011-3368). Le versioni supportate interessate sono 10.1.3.5, 11.1.1.5 e 11.1.2.0. Vulnerabilità facilmente sfruttabili permettono il successo degli attacchi di rete non autenticati tramite HTTP. L'attacco con successo questa vulnerabilità può causare l'accesso non autorizzato l'accesso in lettura a un sottoinsieme di dati Oracle HTTP Server accessibili. Punteggio 5,0 Base CVSS (impatti di riservatezza).

Una vulnerabilità nel componente PeopleSoft Enterprise HRMS Products di Oracle PeopleSoft (sottocomponente: Gateway Candidate), (CVE-2012-1748). La versione supportata che è interessata è di 9,1. Vulnerabilità facilmente sfruttabili permettono il successo degli attacchi di rete autenticate tramite HTTP. L'attacco con successo di questa vulnerabilità può causare non autorizzato accesso in lettura a un sottoinsieme di dati accessibili PeopleSoft Enterprise HRMS. CVSS Base punteggio 4.0 (impatti di riservatezza). Gli aggiornamenti sono applicabili direttamente dal sito di Oracle.

Nessun commento:

Posta un commento