:: Principal
:: Noticias
:: Descargas
:: Regístrate
:: Nuestros banners
:: Contactar
:: Recomiendanos
:: Aviso Legal

  Página de incio
  Agregar a favoritos

 
 
 
 
 
 
   

page counter
   

Hackear MSN - Grupo de parches de julio para diversos productos Oracle - Hackear MSN
Noticia: Grupo de parches de julio para diversos productos Oracle - 2006-07-31
 
Oracle ha publicado, en su habitual ciclo trimestral, un conjunto de 65
parches para diversos productos de la casa que solventan una larga lista
de vulnerabilidades sobre las que apenas han dado detalles concretos.

La lista de productos afectados abarca a casi toda la gama de software
de la compa??a: Database 10g Release 1 y 2, Oracle9i Database Release 2,
Oracle8i Database Release 3, Enterprise Manager 10g Grid Control,
Application Server 10g Release 1, 2 y 3, Collaboration Suite 10g Release
1, Oracle9i Collaboration Suite Release 2, E-Business Suite Release 11i,
E-Business Suite Release 11.0, Pharmaceutical Applications....

La lista se alarga con los productos que tambi?n se ven afectados como
parte integrante de alguno de los anteriores: Application Server Portal,
Developer Suite, Workflow...

De entre las 65 correcciones destacan:

* Diez que afectan a Application Server resultando nueve de ellas cr?ticas.

* Veinte que afectan a E-Business Suite resultando cinco de ellas cr?ticas.

* Cuatro que afectan a Enterprise Manager resultando dos de ellas cr?ticas.

Existen adem?s cuatro nuevas vulnerabilidades que afectan a
instalaciones cliente Oracle Database. Para tres de estas
vulnerabilidades, un servidor no confiable puede causar que el cliente
deje de responder si se conecta a ese servidor. El cuarto fallo podr?a
permitir la ejecuci?n de c?digo en el cliente.

De todos ellos s?lo se han hecho p?blicos ciertos problemas que permiten
la inyecci?n de consultas SQL si el atacante puede crear funciones
PL/SQL. Los fallos se basan en una falta de validaci?n adecuada de
entrada en los paquetes sys.kupw$worker, sys.dbms_cdc_impdp,
sys.dbms_stats y sys.dbms_upgrade.

Estos 65 problemas declarados se resuelven a trav?s de hasta 250 parches
para cubrir distintas versiones y plataformas. Una importante cantidad
de software que ni siquiera estaba totalmente disponible a la hora de
hacer p?blico el bolet?n, pues algunos parches se han retrasado. Este es
s?lo uno de los muchos problemas que puede acarrear una adecuada
administraci?n de productos Oracle. La cr?ptica matriz de riesgos y
parches que aporta la documentaci?n de Oracle, da una idea de la
envergadura y problem?tica que implica una actualizaci?n de estos
servidores. Es quiz?s por esto (o a causa de esto), que Oracle desde
hace algunos a?os, publica estas actualizaciones cada tres meses. Un
tiempo necesario para que los administradores planifiquen adecuadamente
la actualizaci?n, pero excesivo por otro lado por la acumulaci?n de
problemas que se apilan durante ese periodo.

Oracle, como pol?tica de divulgaci?n, opta siempre por el m?s
escrupuloso silencio a la hora de detallar sus problemas de seguridad.
Fue s?lo en una ocasi?n, una semana antes de la aparici?n de su
actualizaci?n de abril de 2006, que public? en su p?gina de MetaLink un
nota en la que se describ?a un problema de elevaci?n de privilegios en
Oracle Database. Para colmo, se detallaba c?mo aprovecharse del
problema. Poco despu?s fue admitido el error, retirada y ocultada la
nota, junto con el resto de problemas de seguridad. No ha sido hasta
este ciclo de parches, tres meses despu?s, que esta vulnerabilidad ha
sido solucionada.

Este oscurantismo es criticado desde algunos sectores. Es habitual, para
agravar el problema, que ciertos especialistas publiquen, al poco tiempo
de analizar los parches, detalles sobre las vulnerabilidades ya
solucionadas (cuando todav?a no todos los administradores han aplicado
los parches), nuevos problemas de seguridad o se quejen sobre fallos no
solventados por completo.

En cualquier caso, desde Hispasec se recomienda aplicar los parches,
preferiblemente con ayuda y consejo del servicio postventa del
fabricante de forma que se garantice una correcta actualizaci?n del
producto y evitar interacciones no deseadas.

Para comprobar las matrices de productos afectados y la disponibilidad
de parches, es necesario comprobar la notificaci?n oficial, enlazada m?s
abajo. La pr?xima actualizaci?n trimestral est? planeada para el 18 de
octubre de 2006.
Enviado por el administrador el 2006-07-31
Powered by HackearMSN
 


 

 
:: Membresias:
:: Miembros: 10044
:: Total Online: 4
:: Max Online: 4

:: Último: foxt3r

:: Estadísticas:
:: Noticias: 14
:: Descargas: 79
:: Categorías 11

:: Visitas Hoy
:: Visitas 730
:: Imps 2340

 

Necesitarás WinRar
para poder abrir la mayoria de los
archivos.


Descargar aquí