usuario
clave
iniciar sesión
regístrate
Portada
Canales
  • Apple
  • Blackhats
  • Ciencia
  • Comunicación
  • Curiosidades
  • e-Administración
  • Empresas
  • Eventos
  • Hardware
  • Nombramientos
  • Seguridad
  • Software
  • Software Libre
  • Telefonía
  • Videojuegos
  • Wireless
El Periódico
  • Blogs amigos
  • Editorial
  • Entrevistas
  • Gadgets
  • Minijuegos
  • Perfiles
  • Tags
  • Top noticias
  • Videorreportajes
  • Webcómics
MiFlecha
  • Blogs
  • Imágenes
  • Videos
Servicios
  • Boletines
  • Contactos
  • Formación
  • Tienda
  • Viviendas
Comunidad
  • Encuestas
  • Foros
  • Emails de los lectores
  • Chat
Viviendas
Acción:
Propiedad:
Provincia:



Patrocinado por:
Pisos y casas en España
Tienda
Boletín semanal
Email:
Boletines publicados
Arag
  • Seguridad
  • Noticias
Otras noticias
  • Desbordamiento de búfer en CiscoWorks Common Services
  • Surgen los primeros virus telefónicos
  • Actualizaciones de seguridad para Adobe Reader y Acrobat
  • Hoax.Renos. muestra un mensaje falso de infección
  • El gusano Aimdes.E. se propaga por AOL Instant Messenger
  • La huella dactilar refuerza la seguridad de la banca
  • ¿Está roto el cifrado AES?
  • Consejos para realizar la declaración de la renta online de forma segura
  • Los spammers se "ponen las pilas" en verano
  • Parche para ColdFusion MX y JRun 4.0 por denegación de servicio
Más noticias
En el foro
  • detective privado...
  • ¿Qué antivirus usas?
  • Virus Conficker "jwgkvsq.vmx"
  • ¿Son las empresas que fabrican antivirus las responsables de los virus?
  • ¿Qué Anti-espías usas?
Ir al foro de Seguridad
VULNERABILIDADES

Múltiples vulnerabilidades en productos de Oracle

Oracle 'sorprendió' hace unos meses con un polémico comunicado en el que anunciaba que su nueva política de publicación de actualizaciones sería trimestral. Dejando aparte lo inteligente o conveniente de dicha política para los administradores de sistemas afectados, ha sido fiel a dicho anuncio y ha publicado 23 avisos de vulnerabilidades que han sido detectadas en gran cantidad de productos de su compañía.

20 Ene 2005 | HISPASEC
S

i bien la mayor parte de las vulnerabilidades descubiertas permiten el acceso a información sensible y la manipulación de datos, otras permitirían también realizar ataques de inyección PL/SQL, denegación de servicio o escalada de privilegios.



La compañía aplica el adjetivo potencial a la mayor parte de las
vulnerabilidades y especifica en gran cantidad de ellas requisitos como permisos de ejecución sobre determinados paquetes, o estar en una sesión válida.

En resumen, los componentes afectados (que no las vulnerabilidades individuales) serían los siguientes, con sus ulnerabilidades asociadas:
* Networking (DoS)
* LOB Access (AIS)
* Spatial (AIS, MdI, DoS)
* UTL_FILE (MdI)
* Diagnostic (AIS, MdI, DoS)
* XDB (AIS, MdI)
* Dataguard (AIS, MdI)
* Log Miner (AIS, MdI)
* OLAP (AIS, MdI)
* Data Mining (AIS, MdI)
* Advanced Queuing (AIS, MdI)
* Change Data Capture (AIS, MdI)
* Database Core (AIS, MdI)
* OHS (AIS, MdI)
* Report Server (AIS, MdI)
* Forms (DoS)
* mod_plsql (AIS, MdI)
* Calendar (AIS, MdI, DoS)

Adicionalmente, se han detectado también errores en Oracle E-Business Suite que podrían ser explotados para acceder a información sensible o manipularla.

Los acrónimos usados para simplificar la enumeración son los siguientes:
AIS: Acceso a información sensible
MdI: Manipulación de información
DoS: Denegación de servicio

Los productos afectados por estas vulnerabilidades serían los siguientes:
* Oracle8 Database Release 8.0.6 (versión 8.0.6.3)
* Oracle8i Database Server Release 3 (versión 8.1.7.4)
* Oracle9i Database Server Release 1 (versiones 9.0.1.4, 9.0.1.5 y 9.0.4)
* Oracle9i Database Server Release 2 (versiones 9.2.0.4, 9.2.0.5 y 9.2.0.6)
* Oracle9i Application Server Release 1 (versión 1.0.2.2)
* Oracle9i Application Server Release 2 (versiones 9.0.2.3 y 9.0.3.1)
* Oracle Database 10g Release 1 (versiones 10.1.0.2, 10.1.0.3 y 10.1.0.3.1)
* Oracle Application Server 10g (9.0.4, versiones 9.0.4.0 y 9.0.4.1)
* Oracle Application Server 10g Release 2 (10.1.2)
* Oracle Collaboration Suite Release 2 (version 9.0.4.2)
* Oracle E-Business Suite and Applications Release 11i (11.5)
* Oracle E-Business Suite and Applications Release 11.0

El enlace para acceder a las actualizaciones pertinentes según
plataforma es el siguiente: http://metalink.oracle.com/metalink/plsql/showdocdb=NOT&id=293953.1

Tras esto, sólo recordar que las fechas programadas para repetir este tipo de publicación son 12 de abril, 12 de julio y 18 de octubre.


Más Información:

Oracle:
http://otn.oracle.com/deploy/security/pdf/cpu-jan-2005_advisory.pdf

NGS Software:
http://www.nextgenss.com/advisories/oracle-02.txt

Pete Finnigan:
http://www.petefinnigan.com/directory_traversal.pdf

Red Database Security:
http://www.red-database-security.com/content6.html

Boletín

Si quieres recibir cada semana las noticias más interesantes suscríbete a nuestro boletín.

Comentarios
LaFlecha.net no se hace responsable del contenido de los comentarios publicados.
Entérate de cuándo hay nuevos comentarios

No se permitirán los comentarios que :
- puedan resultar ofensivos o injuriosos
- incluyan insultos, alusiones sexuales innecesarias y palabras soeces o vulgares
- apoyen la pedofilia, el terrorismo o la xenofobia

Autor
Comentario
Ver más...
BBCode (Ayuda): [b], [i], [u], [s], [quote], [code], [spoiler]
Publicidad
Ahora en LaFlecha puedes encontrar Cursos y Másters

  • Acerca de LaFlecha
  • Contactar
  • Política de privacidad
  • RSS/RDF
  • Síguenos en Twitter
  • ¿Quieres saberlo todo sobre Hacking?