Vulnerability Team

Oracle has released its Critical Patch Update for July 2011 to address 78 vulnerabilities across multiple products. This update contains the following security fixes:
* 13 for Oracle Database Server
* 3 for Oracle Secure Backup
* 7 for Oracle Fusion Middleware
* 18 for Oracle Enterprise Manager
* 1 for Oracle E-Business Suite
* 1 for Oracle Supply Chain Products Suite
* 12 for Oracle PeopleSoft and JDEdwards Suite
* 23 for Oracle Sun Products Suite

source: us-cert.gov

Oracle ha liberado su Critical Patch Update Advisory para el mes de abril, el cual contiene un total de 73 nuevos "fixes" para toda la familia de productos Oracle.

Los productos afectados son:

Oracle Database 11g Release 2, versions 11.2.0.1, 11.2.0.2	Database
Oracle Database 11g Release 1, version 11.1.0.7	Database
Oracle Database 10g Release 2, versions 10.2.0.3, 10.2.0.4, 10.2.0.5	Database
Oracle Database 10g Release 1, version 10.1.0.5	Database
Oracle Fusion Middleware 11g Release 1, versions 11.1.1.2.0, 11.1.1.3.0, 11.1.1.4.0	Fusion Middleware
Oracle Application Server 10g Release 3, version 10.1.3.5.0	Fusion Middleware
Oracle Application Server 10g Release 2, version 10.1.2.3.0	Fusion Middleware
Oracle Identity Management 10g, versions 10.1.4.0.1, 10.1.4.3	Fusion Middleware
Oracle JRockit, versions R27.6.8 and earlier (JDK/JRE 1.4.2, 5, 6), R28.1.1 and earlier (JDK/JRE 5, 6)	Fusion Middleware
Oracle Outside In Technology, versions 8.3.2.0, 8.3.5.0	Fusion Middleware
Oracle WebLogic Server, versions 8.1.6, 9.2.3, 9.2.4, 10.0.2, 11gR1 (10.3.2, 10.3.3, 10.3.4)	Fusion Middleware
Oracle E-Business Suite Release 12, versions 12.0.6, 12.1.1, 12.1.2, 12.1.3	E-Business Suite
Oracle E-Business Suite Release 11i, version 11.5.10.2	E-Business Suite
Oracle Agile Technology Platform, versions 9.3.0.2, 9.3.1	Oracle Supply Chain
Oracle PeopleSoft Enterprise CRM, version 8.9	PeopleSoft
Oracle PeopleSoft Enterprise ELS, versions 9.0, 9.1	PeopleSoft
Oracle PeopleSoft Enterprise HRMS, versions 9.0, 9.1	PeopleSoft
Oracle PeopleSoft Enterprise Portal, versions 8.8, 8.9, 9.0, 9.1	PeopleSoft
Oracle PeopleSoft Enterprise People Tools, versions 8.49, 8.50, 8.51	PeopleSoft
Oracle JD Edwards OneWorld Tools, version 24.1.x	JD Edwards
Oracle JD Edwards EnterpriseOne Tools, version 8.98.x	JD Edwards
Oracle Siebel CRM Core, versions 7.8.2, 8.0.0, 8.1.1	Siebel
Oracle InForm, versions 4.5, 4.6, 5.0	Health Sciences Applications
Oracle Sun Product Suite	Oracle Sun Product Suite
Oracle Open Office, version 3 and StarOffice/StarSuite, versions 7, 8	Oracle Sun Product Suite

ORACLE CRITICAL PATCH - APRIL 2011

Desde Vulnerability Team exortamos a los usuarios y administradores revisar las notificaciones y aplicar las actualizaciones necesarias, para ayudar a mitigar los riesgos.


fuente: oracle.com

Oracle Java SE and Java for Business CVE-2010-4448 Remote Java Runtime Environment Vulnerability

Oracle Java Applet Clipboard Injection Remote Code Execution Vulnerability

Oracle Java SE and Java for Business CVE-2010-4469 Remote Java Runtime Environment Vulnerability

Oracle Java SE and Java for Business CVE-2010-4471 Remote Security Vulnerability

Oracle Java SE and Java for Business CVE-2010-4450 Remote Java Runtime Environment Vulnerability

Oracle Java Floating-Point Value Denial of Service Vulnerability

Oracle Java SE and Java for Business CVE-2010-4472 Remote Java Runtime Environment Vulnerability

Oracle Java SE and Java for Business CVE-2010-4470 Remote Java Runtime Environment Vulnerability

Desde Vulnerability Team exortamos a los usuarios y administradores revisar las notificaciones y aplicar las actualizaciones necesarias, para ayudar a mitigar los riesgos.

fuente: securityfocus.com

El US-CERT Cyber Security bulletin contiene un resumen de las nuevas vulnerabilidades que han sido registradas por el Instituto Nacional de Estándares y Tecnología (NIST) y por la Base de Datos Nacional de la vulnerabilidad (NVD) durante la semana pasada. El NVD está patrocinado por el Departamento Homeland Security (DHS) de la División Nacional de Seguridad Cibernética (NCSD) / y el Equipo de Preparación de Emergencia Informática de los Estados Unidos (US-CERT).

Las vulnerabilidades se basan en el estandar CVE y están organizadas de acuerdo a la gravedad, determinada por la puntuación de la vulnerabilidad del sistema común (CVSS) . La división de alta, media y baja gravedad se corresponden con los siguientes resultados:

    * HIGH (Alto) – Las vulnerabilidades serán etiquetados de alta gravedad si tienen un CVSS base de puntuación de 7,0 – 10,0
    * MEDIUM (Media) – Las vulnerabilidades serán etiquetados Medio gravedad si tienen un CVSS base de puntuación de 4,0 – 6,9
    * LOW (Mínima) – Las vulnerabilidades serán etiquetados de baja gravedad si tienen un CVSS base de puntuación de 0,0 – 3,9

Algunas de las vulnerabilidades que aparecen en el resumen han sido reportadas con anterioridad en este blog.

VER Vulnerability Summary for the Week of January 17, 2011

Desde Vulnerability Team exortamos a los usuarios y administradores revisar las notificaciones y aplicar las actualizaciones necesarias, para ayudar a mitigar los riesgos.

fuente: us-cert.org

 

Tal como anunciamos el lunes, Oracle ha liberado su boletin de seguridad el cual presenta 66 nuevos "security fixes" para corregir multiples vulnerabilidades que afectan a muchos de sus productos que a continuacion listamos:

Oracle Database 11g Release 2, version 11.2.0.1	Database
Oracle Database 11g Release 1, version 11.1.0.7	Database
Oracle Database 10g Release 2, versions 10.2.0.3, 10.2.0.4, 10.2.0.5	Database
Oracle Database 10g Release 1, version 10.1.0.5	Database
Oracle Audit Vault 10g Release 2, version 10.2.3.2	Database
Oracle Secure Backup 10g Release 3, version 10.3.0.2	Database
Oracle Fusion Middleware, 11g Release 1, versions 11.1.1.2.0, 11.1.1.3.0	Fusion Middleware
Oracle Application Server 10g Release 2, version 10.1.2.3.0	Fusion Middleware
Oracle Beehive, versions 2.0.1.0, 2.0.1.1, 2.0.1.2, 2.0.1.2.1, 2.0.1.3	Fusion Middleware
Oracle BI Publisher, versions 10.1.3.3.2, 10.1.3.4.0, 10.1.3.4.1, 11.1.1.3	Fusion Middleware
Oracle Document Capture, versions 10.1.3.4, 10.1.3.5	Fusion Middleware
Oracle GoldenGate Veridata, version 3.0.0.4	Fusion Middleware
Oracle JRockit versions, R27.6.7 and earlier (JDK/JRE 1.4.2, 5, 6), R28.0.1 and earlier (JDK/JRE 5, 6)	Fusion Middleware
Oracle Outside In Technology, version 8.3.0	Fusion Middleware
Oracle WebLogic Server, versions 7.0.7, 8.1.6, 9.0, 9.1, 9.2.3, 10.0.2, 10.3.2, 10.3.3	Fusion Middleware
Oracle Enterprise Manager Suite Release 10, version 10.2.0.5	Enterprise Manager Suite
Oracle Enterprise Manager Real User Experience Insight, version RUEI 6.0	Enterprise Manager Suite
Oracle E-Business Suite Release 12, versions 12.0.4, 12.0.5, 12.0.6, 12.1.1, 12.1.2, 12.1.3	E-Business Suite
Oracle E-Business Suite Release 11i, version 11.5.10.2	E-Business Suite
Oracle Agile Core, versions 9.3.0.2, 9.3.1	Oracle Supply Chain
Oracle Transportation Manager, versions 5.5, 6.0, 6.1, 6.2	Oracle Supply Chain
Oracle PeopleSoft Enterprise CRM, versions 8.9, 9.0, 9.1	PeopleSoft
Oracle PeopleSoft Enterprise HRMS, versions 8.9, 9.0, 9.1	PeopleSoft
Oracle PeopleSoft Enterprise PeopleTools, versions 8.49, 8.50, 8.51	PeopleSoft
Oracle Argus Safety, versions 5.0, 5.0.1, 5.0.2, 5.0.3	Health Sciences Applications
Oracle InForm Portal, versions 4.5, 4.6, 5.0	Health Sciences Applications
Oracle Sun Product Suite	Oracle Sun Product Suite
Oracle Open Office, version 3.2.1 and StarOffice/StarSuite, versions 7, 8	Oracle Sun Product Suite

Ver Oracle Critical Pacth Update Advisory - January 2011

La compañia tiene previsto lanzar a lo largo del presente año 2011 otros 3 boletines de seguridad, el 3er martes de los siguientes meses, Abril (19), Julio (19) y Octubre (18)

Desde Vulnerability Team exortamos a los usuarios y administradores revisar las notificaciones y aplicar las actualizaciones necesarias, para ayudar a mitigar los riesgos.

fuente: oracle.com

Coincidiendo con el dia en que Oracle lanzara su boletin de seguridad con 66 parches para hacer frente a  multiples vulnerabilidades, se publican nuevas variantes de algunas de ellas.

Oracle MySQL 'HANDLER' interface Denial Of Service Vulnerability

Oracle MySQL Prior to 5.1.49 'WITH ROLLUP' Denial Of Service Vulnerability

Oracle MySQL 'EXPLAIN' Denial Of Service Vulnerability

Oracle MySQL Prior to 5.1.49 'DDL' Statements Denial Of Service Vulnerability

Oracle MySQL Prior to 5.1.49 'JOIN' Statement Denial Of Service Vulnerability

Oracle MySQL Prior to 5.1.49 Malformed 'BINLOG' Arguments Denial Of Service Vulnerability

Oracle MySQL 'LOAD DATA INFILE' Denial Of Service Vulnerability

Oracle MySQL 'TEMPORARY InnoDB' Tables Denial Of Service Vulnerability


Oracle Java SE and Java for Business CVE-2010-3574 Remote Networking Vulnerability

fuente: securityfocus.com

Tal como anunciamos la semana pasada por medio del Advance Notificaction, Oracle prepara para mañana (martes 18) el lanzamiento de 66 parches de seguridad que afectan a cientos de sus productos, según ha comunicado la compañía.

Varios de estos parches resolverán vulnerabilidades clasificadas en el máximo nivel de riesgo dentro de la escala de valoración Common Vulnerability Scoring System, ha advertido Oracle. Entre los productos afectados se incluyen Oracle Audit Vault, JRockit, Solaris y el servidor WebLogic.

Seis de las actualizaciones cubren brechas de seguridad en la base de datos de Oracle, dos de las cuales pueden ser explotadas remotamente sin nombre de usuario o contraseña. De los restantes, 16 van dirigidas a los productos middleware del fabricante y 12 de las vulnerabilidades que resuelven permiten explotación remota sin autenticación.

Otros parches incluidos en esta actualización resuelven problemas de seguridad en Enterprise Manager, PeopleSoft, JD Edwards, Glassfish y OpenOffice.

Además, Oracle ha anunciado que en febrero lanzará actualizaciones para Java SE y Java for Business.

Desde Vulnerability Team exortamos a los usuarios y administradores revisar las notificaciones y aplicar las actualizaciones necesarias, para ayudar a mitigar los riesgos.

fuente: csospain.es 

This Critical Patch Update Pre-Release Announcement provides advance information about the Oracle Critical Patch Update for January 2011, which will be released on Tuesday, January 18, 2011. While this Pre-Release Announcement is as accurate as possible at the time of publication, the information it contains may change before publication of the Critical Patch Update Advisory.

The update addresses 66 vulnerabilities affecting the following software:

Oracle Database Server
Oracle Secure Backup
Oracle Fusion Middleware
Oracle Enterprise Manager Grid Control
Oracle Solaris products
Oracle Applications
Oracle Supply Chain Products Suite
Oracle PeopleSoft and JDEdwards Suite
Oracle Industry Applications
Oracle Sun Products
Oracle Open Office Suite

PRE-RELEASE Oracle January 2011 Critical Patch Update 

fuente:  oracle.com

El pasado lunes el centro de Microsoft Malware Protection, publicó en su blog un informe estadístico relacionado a la explotación de vulnerabilidades y las plataformas. En el mismo, se destaca el aumento de ataques hacia Java, superando así notablemente a Adobe, que en estos últimos tiempo ha sido blanco habitual de ataques .

En el siguiente gráfico, extraído del informe, podemos observar que en el tercer trimestre del año, el aumento de ataques sobre la plataforma Java en relación a los ataques sobre archivos PDF, ha sido notablemente superior:

En concordancia con esta noticia, en su ciclo trimestral de actualizaciones, el pasado martes 12 de octubre, Oracle corrigió 29 vulnerabilidades críticas de las cuales 28 eran explotables remotamente, sin la necesidad de autentificación, suponiendo esto un gran riesgo para el usuario.
Vale destacar también que este tipo de ataque ha sido de gran interés para los creadores de malware, ya que se trata de un servicio como Java, que es multiplataforma (los binarios se pueden ejecutar en todos los sistemas operativos compatibles con esta plataforma). Hace un tiempo atrás ya informamos sobre estos ataques.


fuente: blogs.eset-la.com