Grupo de parches de abril para diversos productos Oracle

Las consecuencias son que atacantes locales y remotos pueden provocar denegaciones de servicio, ejecutar código arbitrario, tener acceso de escritura y lectura a datos sensibles, perpetrar ataques de inyección SQL y eludir restricciones de seguridad.

La lista de productos afectados es la siguiente:

* Oracle Database 10g Release 1, versiones 10.1.0.4, 10.1.0.5

* Oracle9i Database Release 2, versiones 9.2.0.7, 9.2.0.8

* Oracle Secure Enterprise Search 10g Release 1, versión 10.1.6

* Oracle Application Server 10g Release 3 (10.1.3), versiones 10.1.3.0.0, 10.1.3.1.0, 10.1.3.2.0

* Oracle Application Server 10g Release 2 (10.1.2), versiones 10.1.2.0.1 – 10.1.2.0.2, 10.1.2.1.0, 10.1.2.2.0

* Oracle Application Server 10g (9.0.4), versión 9.0.4.3

* Oracle10g Collaboration Suite Release 1, versión 10.1.2

* Oracle E-Business Suite Release 11i, versiones 11.5.7 – 11.5.10 CU2

* Oracle E-Business Suite Release 12, versión 12.0.0

* Oracle Enterprise Manager 9i Release 2, versiones 9.2.0.7, 9.2.0.8

* Oracle Enterprise Manager 9i, versión 9.0.1.5

* Oracle PeopleSoft Enterprise PeopleTools versiones 8.22, 8.47, 8.48

* Oracle PeopleSoft Enterprise Human Capital Management versión 8.9

* JD Edwards EnterpriseOne Tools versión 8.96

* JD Edwards OneWorld Tools SP23

* Oracle9i Database Release 1, versiones 9.0.1.5, 9.0.1.5 FIPS

* Oracle9i Database Release 2, versiones 9.2.0.5

* Oracle Database 10g Release 2, versión 10.2.0.1

De las 36 correcciones:

* 13 afectan a Oracle Database. Además se publica una actualización para Oracle Enterprise Manager, otra para Oracle Workflow Cartridge, y otra para Ultra Search component. Dos de ellas no requieren un usuario y contraseña válidos para poder ser aprovechadas. Dos de ellas son aplicables a instalaciones de Oracle Database client.

* Una corrección para Oracle Enterprise Manager.

* Cinco vulnerabilidades de Oracle Application Server. Una de Oracle Workflow Cartridge y una de Oracle Secure Enterprise Search también afectan a Oracle Application Server. Dos de las cuales son aprovechables de forma remota sin necesidad de autenticación.

* Un parche para Oracle Collaboration Suite que no puede ser aprovechado de forma remota sin autenticación.

* 11 parches en Oracle E-Business Suite y Applications. Dos de ellas son aprovechables de forma remota sin autenticación.

* Un nuevo parche para Oracle Enterprise Manager, que podría ser aprovechable de forma remota sin autenticación.

* Dos nuevos parches para Oracle PeopleSoft Enterprise. Un nuevo parche para PeopleSoft Enterprise Human Capital Management, y un nuevo parche para JD Edwards EnterpriseOne y JD Edwards OneWorld Tools.

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial:

Oracle Critical Patch Update – April 2007: http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2007.html

Critical Patch Update – April 2007 Documentation Map: http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=420060.1