Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica su actualización correspondiente al mes de abril. Contiene parches para 299 nuevas vulnerabilidades diferentes en múltiples productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL.

Los fallos se dan en varios componentes de múltiples productos y como es habitual la lista completa de productos afectados es cada vez más extensa. Se concreta en las siguientes familias:

  1. Oracle Database Server
  2. Oracle Secure Backup
  3. Oracle Berkeley DB
  4. Oracle Fusion Middleware
  5. Oracle Hyperion
  6. Oracle Enterprise Manager Grid Control
  7. Oracle E-Business Suite
  8. Oracle Supply Chain Products Suite
  9. Oracle PeopleSoft Products
  10. Oracle JD Edwards Products
  11. Oracle Siebel CRM
  12. Oracle Commerce
  13. Oracle Communications Applications
  14. Oracle Financial Services Applications
  15. Oracle Health Sciences Applications
  16. Oracle Hospitality Applications
  17. Oracle Insurance Applications
  18. Oracle Retail Applications
  19. Oracle Utilities Applications
  20. Oracle Primavera Products Suite
  21. Oracle Java SE
  22. Oracle Sun Systems Products Suite
  23. Oracle Virtualization
  24. Oracle MySQL
  25. Oracle Support Tools

Detalle de la actualización

  • Dos nuevas vulnerabilidades corregidas en Oracle Database Server y otra en Oracle Secure Backup (explotable remotamente sin autenticación).
  • Para la suite de productos Oracle Sun Systems se incluyen 21 nuevas actualizaciones, 10 de ellas afectan directamente a Solaris.
  • 39 nuevas vulnerabilidades afectan a MySQL Server (11 de ellas podrían ser explotadas por un atacante remoto sin autenticar).
  • 14 nuevos parches para Oracle Berkeley DB (ninguna de estas vulnerabilidades es exploitable remotamente sin autenticación).
  • Otras 31 vulnerabilidades afectan a Oracle Fusion Middleware. 20 de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Oracle API Gateway, Oracle Fusion Middleware MapViewer, Oracle GlassFish Server, Oracle Identity Manager, Oracle Service Bus, Oracle Social Network, Oracle WebCenter Content, Oracle WebCenter Sites y Oracle WebLogic Server.
  • Esta actualización contiene dos nuevas actualizaciones de seguridad para Oracle Enterprise Manager Grid Control, ambas explotables remotamente sin autenticación.
  • Dentro de Oracle Applications, 11 parches son para Oracle E-Business Suite, uno es para la suite de productos Oracle Supply Chain, 16 para productos Oracle PeopleSoft, uno para productos Oracle JD Edwards, uno para Oracle Siebel CRM y tres para Oracle Commerce.
  • Se incluyen también 11 nuevos parches para Oracle Communications Applications, nueve de ellos tratan vulnerabilidades explotables remotamente sin autenticación. También se solucionan 47 nuevas vulnerabilidades en Oracle Financial Services Applications (25 explotables remotamente).
  • Una vulnerabilidad exploitable remotamente sin autenticación en Oracle Health Sciences Applications y otras seis en Oracle Hospitality Applications (solo una exploitable remotamente).
  • Una actualización para Oracle Insurance Applications y 39 para Oracle Retail Applications, 32 de ellas explotables remotamente sin autenticación.
  • También se incluyen siete nuevos parches de seguridad para Oracle Utilities Applications (todas explotables remotamente sin autenticación) y siete para la suite de productos Oracle Primavera, cuatro de ellas podrían explotarse de forma remota sin autenticación.
  • En lo referente a Oracle Java SE se incluyen ocho nuevos parches de seguridad, siete de ellos referentes a vulnerabilidades que podrían ser explotadas por un atacante remoto sin autenticar.
  • Esta actualización también contiene 15 parches para Oracle Virtualización, 13 para Oracle Support Tools y uno para Oracle Hyperion.

Recomendación

Se recomienda comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, disponibles desde la notificación oficial en:

Más información:

Fuente: Hispasec

Anuncios