Con la misma disposición y prosa que acostumbra a utilizar Oracle a la hora de hacer sus anuncios sobre la liberación de su "Critical Patch Update", nos llega la última entrega de este 2013.
Las próximas entregas de CPU, serán ya durante el 2014 y han sido agendadas para:
- Enero 14, 2014
- Abril 15, 2014
- Julio 15, 2014
Han agregado tres notas adicionales, que hacen referencia al producto E-Business Suite Release 11i y 12 y han actualizado sus guías de seguridad para configuración.
Las notas respectivas son:
- Oracle E-Business Suite Releases 11i and 12 Critical Patch Update Knowledge Document (October 2013) (Note 1585639.1)
- Secure Configuration Guide for Oracle E-Business Suite Release 12 (Note 403537.1)
- Secure Configuration Guide for Oracle E-Business Suite Release 11i (Note 189367.1)
La lista de productos y componentes que son afectados por esta revisión es larga. Si no, miren a continuación no más. Tengan en consideración eso sí, que esta es una nota previa a la liberación del informe general, en donde destaca en su informe ejecutivo, que dos componentes del motor de la base de datos, se ven afectados: Core RDBMS y XML Parser, con una nota de 5.5 en una escala de 10.
Algunos productos de la capa intermedia, como Oracle Access Manager, Oracle Identity Manager, Oracle Webcenter Content, Oracle Weblogic Server, JDeveloper y otros, tienen un puntaje de 7.5.
Sin embargo, la llamada de atención son para aquellos usuarios de JAVA SE, quienes tendrán en esta revisión, la oportunidad de solucionar 51 problemas, de los cuáles 50 vulnerabilidades pueden ser remotamente aprovechadas sin requerir contraseña. Este grupo de vulnerabilidades tiene una nota de 10.
Los clientes de aplicaciones no se escapan. Siebel CRM aparece también en la lista, con un nivel de afectación de 6.8 para sus componentes:
- Siebel Core - EAI
- Siebel Core - Server BizLogic Script
- Siebel Core - Server Infrastructure
- Siebel Server Remote
- Siebel UI Framework
Oracle MySQL, en sus componentes Enterprise Monitor y Server, también son afectados con vulnerabilidades, calificadas con una nota de 8.5. Sin embargo, se rescata, que ninguna de estas fallas, puede ser aprovechada de manera remota o sin contraseña.
La lista general de componentes y productos afectados es la siguiente y la lista oficial la puede encontrar en el siguiente link.
- Oracle Database 10g Release 2, versions 10.2.0.4, 10.2.0.5
- Oracle Database 11g Release 1, version 11.1.0.7
- Oracle Database 11g Release 2, versions 11.2.0.2, 11.2.0.3
- Oracle Database 12c Release 1, version 12.1.0.1
- Oracle Fusion Middleware 11g Release 1, versions 11.1.1.6, 11.1.1.7
- Oracle Access Manager, versions 11.1.1.5.0, 11.1.2.0.0
- Oracle Forms and Reports 11g, Release 2, version 11.1.2.1
- Oracle GlassFish Server, versions 2.1.1, 3.0.1, 3.1.2
- Oracle HTTP Server 12c, version 12.1.2
- Oracle Identity Analytics, version 11.1.1.5; Sun Role Manager, versions 4.1, 5.0
- Oracle Identity Manager, versions 11.1.2.0.0, 11.1.2.1.0
- Oracle JDeveloper, versions 11.1.2.3.0, 11.1.2.4.0, 12.1.2.0.0
- Oracle Outside In Technology, versions 8.4.0, 8.4.1
- Oracle Portal, version 11.1.1.6.0
- Oracle Web Cache, versions 11.1.1.6, 11.1.1.7
- Oracle WebCenter Content, versions 10.1.3.5.1, 11.1.1.6.0, 11.1.1.7.0, 11.1.1.8.0
- Oracle WebLogic Server, versions 10.3.6.0, 12.1.1.0
- Oracle Web Services, versions 10.1.3.5, 11.1.1.6.0
- Oracle Enterprise Manager Grid Control 10g Release 1, version 10.2.0.5
- Oracle Enterprise Manager Grid Control 11g Release 1, version 11.1.0.1
- Oracle Enterprise Manager Plugin for Database 12c Release 1, versions 12.1.0.2, 12.1.0.3, 12.1.0.4
- Oracle E-Business Suite Release 12i, version 12.1
- Oracle Agile PLM Framework, version 9.3.2
- Oracle Transportation Management, versions 6.2, 6.3, 6.3.1, 6.3.2
- Oracle PeopleSoft HRMS, version 9.1
- Oracle PeopleSoft HRMS eCompensation, versions 9.1.0, 9.2.0
- Oracle PeopleSoft PeopleTools, versions 8.51, 8.52, 8.53
- Oracle Siebel Core, versions 8.1.1, 8.2.2
- Oracle Siebel Server Remote, versions 8.1.1, 8.2.2
- Oracle Siebel UI Framework, versions 8.1.1, 8.2.2
- Oracle iLearning, versions 5.2.1, 6.0
- Oracle Health Sciences InForm, versions 4.5.x, 4.6.x, 5.0.x, 5.5.x and 6.0.0
- Oracle Retail Invoice Matching, versions 10.2, 11.0, 12.0, 12.0IN, 12.1, 13.0, 13.1, 13.2
- Oracle Siebel CTMS, version 8.1.1.x
- Oracle FLEXCUBE Private Banking, versions 1.7, 2.0, 2.0.1, 2.2.0.1, 3.0, 12.0.1
- Oracle Instantis EnterpriseTrack, versions 8.0.6, 8.5
- Oracle Primavera P6 Enterprise Project Portfolio Management, versions 8.1, 8.2, 8.3
- Oracle JavaFX, versions 2.2.40 and earlier
- Oracle Java SE, versions 5.0u51 and earlier, 6u60 and earlier, 7u40 and earlier
- Oracle Java SE Embedded, versions 7u40 and earlier
- Oracle JRockit, versions R27.7.6 and earlier, R28.2.8 and earlier
- Oracle Solaris versions 10, 11.1
- Oracle SPARC Enterprise T series and M Series Servers Firmware versions prior to 6.7.13, 7.4.6.c, 8.3.0.b, 9.0.0.d, 9.0.1.e
- Oracle Sun Blade 6000 10GBE switched NEM 1.2, Sun Network 10GBE Switch 72P 1.2, Oracle Switch ES1-24 1.3
- Oracle Policy Automation, versions 10.2.0, 10.3.0, 10.3.1, 10.4.0, 10.4.1, 10.4.2
- Oracle Secure Global Desktop, version 5
- Oracle VM VirtualBox, versions prior to 3.2.18, 4.0.20, 4.1.28, 4.2.18
- Oracle MySQL Server, versions 5.1, 5.5, 5.6
- Oracle MySQL Enterprise Monitor, version 2.3