Sistemas Afectados

1. Descripción

   Oracle ha liberado actualizaciones críticas de Enero de 2006. Estas actualizaciones son más de 80 vulnerabilidades en diferentes productos y componentes de Oracle.

   La actualización crítica proporciona información sobre los componentes afectados, acceso y autorización requeridos, y el impacto de vulnerabilidades en la confidencialidad, integridad y disponibilidad de los datos. Para más información acerca de la actualización de seguridad, los clientes de Metalink deben dirigirse a la Nota 293956.1.

   De acuerdo a Oracle, tres de las vulnerabilidades que fueron corregidas en la actualización crítica de Oracle de Enero de 2006 solamente afecta a los clientes de Base de Datos.

   El UNAM-CERT recomienda que los sitios ejecutando Oracle revisen las actualizaciones críticas, apliquen las correcciones y tomen las medidas necesarias. El CERT está haciendo referencia a todas estas vulnerabilidades como VU#545804. Como información adicional se publicarán las notas de la vulnerabilidad individualmente.

2. Impacto

   El impacto de estas vulnerabilidades varía dependiendo del producto, componente y la configuración del sistema. Las consecuencias potenciales incluyen la ejecución de código o comandos arbitrarios, exposición de información sensible y denegación de servicio. Los componentes vulnerables están disponibles para los intrusos a través de redes remotas, con limitada o sin previa autorización. Un intruso que compromete una base de datos Oracle podría obtener acceso a información sensible.

3. Solución

   Aplicar el parche

   Aplicar los parches apropiados o actualizar con un parche especificado en la lista de actualizaciones críticas - Enero 2006. Note que en esta lista sólo vienen las nuevas correcciones. Las actualizaciones para versiones previas no están listadas.

   Como se menciona en la actualización, algunos parches son acumulativos, mientras que otros no:

   Los parches para Oracle Database, Oracle Application Server, Oracle Enterprise Manager Grid Control, Oracle Collaboration Suite, JD Edwards EnterpriseOne , OneWorld Tools, y el portal PeopleSoft Enterprise son acumulativos; cada parche crítico sucesivo contiene correcciones de actualizaciones anteriores.

   Para el caso del Oracle E-Business Suite, no son acumulativos , así que para los clientes de este producto deben de hacer referencia a la lista de actualizaciones críticas para identificar correcciones previas por si quieren aplicarlas.

4. Apéndice A. Información del fabricante

   Oracle

   Por favor ver la lista de actualizaciones críticas - Enero 2006 y las actualizaciones y alertas de seguridad.

5. Apéndice B. Referencias

   • Lista de actualizaciones críticas - Enero 2006 - <http://www.oracle.com/technology/deploy/security/pdf/cpujan2006.html>
   • Lista de actualizaciones críticas y alertas de seguridad- <http://www.oracle.com/technology/deploy/security/alerts.htm>
   • Nota MetaLink 293956.1 - <http://metalink.oracle.com/metalink/plsql/showdoc?db=Not&id=293956.1>
   • Vulnerabilidad US-CERT VU#545804 - <http://www.kb.cert.org/vuls/id/545804>
   • Vulnerabilidad relacionada a Actualización Crítica - Enero 2006 - <http://www.kb.cert.org/vuls/byid?searchview&query=oracle_cpu_january_2006>
   • Mapa público de la vulnerabilidad para avisos o alertas - <http://www.oracle.com/technology/deploy/security/pdf/public_vuln_to_advisory_mapping.html>
   • Checklist de seguridad para la base de datos Oracle (PDF) - <http://www.oracle.com/technology/deploy/security/pdf/twp_security_checklist_db_database.pdf>

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

• Juan Lopez Morales (jlopez at seguridad dot unam dot mx)
• Ricardo Carrillo Sanchez (rcarrillo at correo dot seguridad dot unam dot mx)
• Ruben Aquino Luna (raquino at seguridad dot unam dot mx)