Sistemas Afectados

1. Descripción

   Oracle ha publicado una actualización crítica – Enero 2007 que de acuerdo con la compañía esta actualización (CPU por sus siglas en inglés) contiene:

   • 17 nuevas correcciones para el manejador de BD Oracle (Oracle atabase), uno de las cuales fue sólo para las instalaciones del cliente Oracle.
   • 9 nuevas correcciones de seguridad para el servidor HTTP Oracle (Oracle HTTP Server)
   • 12 nuevas correcciones de seguridad para el servidor de aplicaciones (Oracle Application Server).
   • 7 nuevas correcciones para la suite de negocios (Oracle E-Business Suite).
   • 6 nuevas correcciones de seguridad para el administrador empresarial (Oracle Enterprise Manager).
   • 3 nuevas correcciones para el producto PeopleSoft Enterprise PeopleTools

   Muchos productos Oracle incluyen o comparten código entre sí (ademas de otros componentes que son vulnerables). Por lo tanto, una vulnerabilidad podría afectar a múltiples productos y componentes de Oracle. Por ejemplo, en esta actualización crítica – enero 2007 no contiene ninguna corrección especificamente para el producto Oracle Collaboration Suite. Sin embargo , Oracle Collaboration Suite es afectado por las vulnerabilidades sobre Oracle Database y por las del Servidor de aplicaciones (Oracle Application Server), por lo que los sitios que ejecuten estas aplicaciones deben instalar las correcciones para dichas aplicaciones. Para ello se puede referir a las notas de actualización crítica enero 2007 para conocer detalles correspondientes a vulnerabilidades sobre productos y componentes de Oracle.

   Para una lista publicada de vulnerabilidades que se cubren en la actualización crítica de Enero 2007 (CPU), por favor referirse al mapa público de vulnerabilidades.

   En la alerta de seguridad Enero 2007 CPU no se asocia el identificador de la vulnerabilidad (ejemplo DB01) con otra información disponible, aún en el mapa público de vulnerabilidades, con algún documento de aviso o alerta.

2. Impacto

   El impacto de estas vulnerabilidades varia dependiendo del producto o componente, y también sobre la configuración del sistema. Las consecuencia potenciales de estas, incluyen la ejecución comandos y de código arbitrario de forma remota, la exposición de información sensible, y la negación de servicio. Los componentes vulnerables podrían estar disponibles sin estar autenticados para atacantes remotos. Un atacante que comprometa un servidor de base de datos Oracle podría estar autorizado para obtener acceso a información confidencial o tomar el control completo de los sistemas o host remotos.

3. Solución

   Aplicar los parches o actualizaciones especificadas dentro de las actualizaciones críticas - Enero 2007. Hay que tomar en cuenta que dichas notas de actualización solamente listan las nuevas vulnerabilidades corregidas.

   Como se destaca en la actualización, algunos parches son acumulativos y otros no:

   Los parches dentro de la actualización son acumulativos sobre los productos Oracle Database, el servidor aplicaciones (Oracle Application Server), el administrador empresarial Grid Control ( Oracle Enterprise Manager Grid Control), la suite de colaboración (Oracle Collaboration Suite),JD Edwards EnterpriseOne, JD Edwards OneWorld Tools, Portal de aplicaciones empresarial PeopleSoft (PeopleSoft Enterprise Portal Applications) y las herramientas empresariales de PeopleSoft Enterprise, en donde cada parche crítico contienen las correcciones de previas actualizaciones.

   Para el Oracle E-Business Suite , las actualizaciones no son acumulativas, asi que los cllientes de este producto deben de referirse a las Actualizaciones Críticas de Parches previas en caso de querer aplicarla.

   Las vulnerabilidades descritas en la Actualización Crítica de Parches Enero 2007 CPU podrían afectar a el motor de BD Oracle 10g Express Edition (Oracle Database XE). De acuerdo con oracle, esta versión de servidor esta basado sobre código de otra versión de servidor, la cual es Oracle 10g Release 2.

   Se sabe que los parches de Oracle están documentados en las notas de pre-instalación y en los archivos readme de los parches. Se sugiere que se consulte estos documentos y se prueben antes de aplicarlos sobre sistemas en producción.

4. Referencias

   1. US-CERT Notas de Vulnerabilidad relacionadas a la Actualización Crítica de Parches – Enero 2007

      http://www.kb.cert.org/vuls/byid?searchview&query=oracle_cpu_jan_2007

   2. Actualización Crítica de Parches – Enero 2007

      http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2007.html

   3. Actualización crítica de Parches y alertas de seguridad

      http://www.oracle.com/technology/deploy/security/alerts.htm

   4. Mapa de vulnerabilidades Map of Public Vulnerability to Advisory/Alert -

      http://www.oracle.com/technology/deploy/security/critical-patch-updates/public_vuln_to_advisory_mapping.html

   5. Checklist de seguiridad para el motor BD Oracle (PDF) -

      http://www.oracle.com/technology/deploy/security/pdf/twp_security_checklist_db_database.pdf

   6. Mejores prácticas para la implementación de Actualizaciones críticas (PDF)

      http://www.oracle.com/technology/deploy/security/pdf/cpu_whitepaper.pdf

   7. Oracle Database 10g Express Edition

      http://www.oracle.com/technology/products/database/xe/index.html

   8. Detalles sobre la Actualización crítica de Parches Enero 2007 -

      http://www.red-database-security.com/advisory/oracle_cpu_jan_2007.html

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

• Ruben Aquino Luna (raquino at seguridad dot unam dot mx)
• Ricardo Carrillo Sanchez (rcarrillo at correo dot seguridad dot unam dot mx)