Los productos y componentes de Oracle son afectados por múltiples vulnerabilidades. Los impactos de estas vulnerabilidades incluyen ejecución remota de código arbitrario, revelación de la información y denegación de servicio.

Fecha de Liberación:	22 de Octubre de 2009
Ultima Revisión:	22 de Octubre de 2009
Fuente:	US-CERT

1. Sistemas Afectados

   • Oracle Database 11g, versión 11.1.0.7
   • Oracle Database 10g Release 2, versiones 10.2.0.3 y 10.2.0.4
   • Oracle Database 10g, versión 10.1.0.5
   • Oracle Database 9i Release 2, versiones 9.2.0.8 y 9.2.0.8DV
   • Oracle Application Server 10g Release 3 (10.1.3), versiones 10.1.3.4.0 y 10.1.3.5.0
   • Oracle Application Server 10g Release 2 (10.1.2), versión 10.1.2.3.0
   • Oracle Business Intelligence Enterprise Edition, versiones 10.1.3.4.0 y 10.1.3.4.1
   • Oracle E-Business Suite Release 12, versiones 12.0.6 y 12.1
   • Oracle E-Business Suite Release 11i, versión 11.5.10.2
   • AutoVue, versión 19.3
   • Agile Engineering Data Management (EDM), versión 6.1
   • PeopleSoft PeopleTools & Enterprise Portal, versión 8.49
   • PeopleSoft Enterprise HCM (TAM), versiones 8.9 y 9.0
   • JDEdward Tools, versión 8.98
   • Oracle WebLogic Server 10.0 hasta MP1 y 10.3
   • Oracle WebLogic Server 9.0 GA, 9.1 GA y 9.2 hasta 9.2 MP3
   • Oracle WebLogic Server 8.1 hasta 8.1 SP5
   • Oracle WebLogic Server 7.0 hasta 7.0 SP6
   • Oracle WebLogic Portal, versiones 8.1 hasta 8.1 SP6, 9.2 hasta 9.2 MP3, 10.0 hasta 10.0MP1, 10.2 hasta 10.2MP1 y 10.3 hasta 10.3.1
   • Oracle JRockit R27.6.4 y anteriores (JDK/JRE 6, 5, 1.4.2)
   • Oracle Communications Order and Service Management, versiones 2.8.0, 6.2.0, 6.3.0 y 6.3.1

2. Descripción

   El Oracle Critical Patch Update Advisory - October 2009 identifica 16 vulnerabilidades en diversos productos y componentes de Oracle. El documento proporciona información acerca de los componentes afectados, acceso y autorización requerida para la operación exitosa, y el impacto de las vulnerabilidades sobre la confidencialidad, integridad y disponibilidad de los datos.

   Oracle tiene asociados identificadores CVE con las vulnerabilidades que se abordan en el presente parche de actualización crítico. Si algunos detalles adicionales importantes acerca de las vulnerabilidades y técnicas de rehabilitación están disponibles, la Base de Datos de las Notas de Vulnerabilidad se mantendrá actualizada.

3. Impacto

   El impacto de estas vulnerabilidades varía dependiendo del producto, del componente y de la configuración del sistema. Las consecuencias potenciales incluyen la ejecución de código arbitrario o de comandos, revelación de información y denegación de servicio. Los componentes vulnerables pueden estar disponibles a atacantes remotos no autenticados. Un atacante que compromete una base de datos Oracle puede ser capaz de acceder a información sensible.

4. Solución

   Aplicar los parches o actualizaciones apropiadas como se especifica en el Oracle Critical Patch Update Advisory - October 2009. Tenga en cuenta que este documento sólo lista los problemas corregidos recientemente. Las actualizaciones de parches de problemas anteriores no aparecen.

5. Referencias

   • Oracle Critical Patch Update Advisory - October 2009 - http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2009.html
   • Critical Patch Updates and Security Alerts - http://www.oracle.com/technology/deploy/security/alerts.htm
   • Map of Public Vulnerability to Advisory/Alert - http://www.oracle.com/technology/deploy/security/critical-patch-updates/public_vuln_to_advisory_mapping.html
   • US-CERT Technical Cyber Security Alert TA09-294A - http://www.us-cert.gov/cas/techalerts/TA09-294A.html

El Departamento de Seguridad en Cómputo/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

• Carmina Cecilia Espinosa Madrigal (cespinosa at seguridad dot unam dot mx)
• Jesús Mauricio Andrade Guzmán (mandrade at seguridad dot unam dot mx)