-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

-------------------------------------------------------------------
Hispasec - una-al-día 20/04/2008
Todos los días una noticia de seguridad www.hispasec.com
-------------------------------------------------------------------

Grupo de parches de abril para diversos productos Oracle
--------------------------------------------------------

Tal y como adelantamos, Oracle ha publicado un conjunto de 41 parches
para diversos productos de la casa que solventan una larga lista de vulnerabilidades sobre las que apenas han dado detalles concretos. Las consecuencias son que atacantes locales y remotos pueden provocar
denegaciones de servicio, ejecutar código arbitrario, tener acceso de
escritura y lectura a datos sensibles, perpetrar ataques de inyección
SQL y eludir restricciones de seguridad. Los fallos se dan en varios componentes de los productos.

Los productos afectados son:
Oracle Database 11g, versión 11.1.0.6
Oracle Database 10g Release 2, versiones 10.2.0.2, 10.2.0.3
Oracle Database 10g, versión 10.1.0.5
Oracle Database 9i Release 2, versiones 9.2.0.8, 9.2.0.8DV
Oracle Application Server 10g Release 3 (10.1.3), versiones 10.1.3.0.0, 10.1.3.1.0, 10.1.3.3.0
Oracle Application Server 10g Release 2 (10.1.2), versiones 10.1.2.0.2, 10.1.2.1.0, 10.1.2.2.0
Oracle Application Server 10g (9.0.4), versión 9.0.4.3
Oracle Collaboration Suite 10g, versión 10.1.2
Oracle E-Business Suite Release 12, versiones 12.0.4
Oracle E-Business Suite Release 11i, versiones 11.5.10.2
Oracle PeopleSoft Enterprise PeopleTools versiones 8.22, 8.48, 8.49
Oracle PeopleSoft Enterprise HCM versiones 8.8 SP1, 8.9, 9.0
Oracle Siebel SimBuilder versiones 7.8.2, 7.8.5

De las 41 correcciones:

* 17 afectan a Oracle Database. Una de las cuales no requieren un
usuario y contraseña válidos para poder ser aprovechadas. Los
componentes afectados son:
Oracle Enterprise Manager, Advanced Queuing, Change Data Capture, Oracle Spatial, Authentication, Oracle Ultra Search, Core RDBMS, Oracle Net
Services, Data Pump, Export, Query Optimizer, Audit.

* Tres afectan a Oracle Application Server las cuales no requieren
usuario y contraseña válidos para poder ser aprovechadas. Una de ellas
es aplicable a las instalaciones de cliente. Los componentes afectados
son: Oracle Jinitiator, Oracle Enterprise Manager, Oracle Dynamic
Monitoring Service, Oracle Portal, Oracle Ultra Search.

* 11 afectan a Oracle E-Business Suite. Siete de ellas no requieren un
usuario y contraseña válidos para poder ser aprovechadas. Los
componentes afectados son: Oracle Advanced Pricing, Oracle Application
Object Library, Oracle Applications Framework, Oracle Applications
Manager, Oracle Applications Technology Stack.

* Una afecta a Oracle Enterprise Manager. Requiere un usuario y
contraseña válido para poder ser aprovechada.

* Tres afectan a Oracle PeopleSoft Enterprise y JD Edwards
EnterpriseOne. Ninguna de las cuales no requieren un usuario y
contraseña válidos para poder ser aprovechadas. Los componentes
afectados son: PeopleSoft PeopleTools, PeopleSoft HCM Recruiting,
PeopleSoft HCM ePerformance.

* Seis afectan a Oracle Siebel Enterprise. Tres de las cuales no
requieren un usuario y contraseña válidos para poder ser aprovechadas.
Los componentes afectados son: Siebel SimBuilder.

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación
oficial:

* Oracle Critical Patch Update - April 2008 http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2008.html

Oracle Critical Patch Update April 2008 Documentation Map: http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=558178.1

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3465/comentar

Más información:

Oracle Critical Patch Update Advisory - April 2008 http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2008.html


Laboratorio Hispasec
laboratorio@hispasec.com


Tal día como hoy:
-----------------

20/04/2007: Apple publica un parche de seguridad que soluciona 25 vulnerabilidades
http://www.hispasec.com/unaaldia/3100

20/04/2006: Múltiples actualizaciones de productos Oracle
http://www.hispasec.com/unaaldia/2735

20/04/2005: Ejecución de código por seleccionar un archivo en Windows 2000
http://www.hispasec.com/unaaldia/2370

20/04/2004: Vulnerabilidades en el protocolo TCP
http://www.hispasec.com/unaaldia/2004

20/04/2003: Denegación de servicios en Internet Explorer
http://www.hispasec.com/unaaldia/1638

20/04/2002: Vulnerabilidad en los privilegios de usuario en Oracle9i
http://www.hispasec.com/unaaldia/1273

20/04/2001: Grave vulnerabilidad en PGP para Windows
http://www.hispasec.com/unaaldia/908

20/04/2000: FrontPage: eliminar DVWSSR.DLL, IMAGEMAP.EXE y HTIMAGE.EXE
http://www.hispasec.com/unaaldia/541

20/04/1999: El Departamento de Defensa Americano transfiere la gestión del cifrado
http://www.hispasec.com/unaaldia/175


-------------------------------------------------------------------
Claves PGP en http://www.hispasec.com/directorio/hispasec
-------------------------------------------------------------------
Bajas: mailto:unaaldia-request@hispasec.com?subject=unsubscribe
Altas: mailto:unaaldia-request@hispasec.com?subject=subscribe
-------------------------------------------------------------------
(c) 2008 Hispasec http://www.hispasec.com/copyright
-------------------------------------------------------------------

--- SoupGate-DOS v1.05
* Origin: Pasarela FTN-INet telnet://pucelabbs.dyndns.org:4000 (2:341/201.99)