Siguiendo
su ritmo de publicación trimestral de actualizaciones, Oracle publica el primer
boletín de seguridad del año. Contiene parches para 270 nuevas vulnerabilidades diferentes en múltiples productos
pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris, Java
o MySQL.
- Oracle Database Server, versiones 11.2.0.4 y 12.1.0.2
- Oracle Secure Backup, versiones anteriores a 12.1.0.3
- Spatial, versiones anteriores a 1.2
- Oracle Fusion Middleware, versiones 11.1.1.7, 11.1.1.9, 11.1.2.3, 11.1.2.4, 12.1.3.0, 12.2.1.0 y 12.2.1.1
- Oracle GlassFish Server, versiones 2.1.1, 3.0.1 y 3.1.2
- Oracle JDeveloper, versiones 11.1.1.7.0, 11.1.1.9.0, 11.1.2.4.0, 12.1.3.0.0, 12.2.1.0.0, 12.2.1.1.0, 12.2.1.2.0
- Oracle Outside In Technology, versiones 8.5.2 y 8.5.3
- Oracle Tuxedo, versión 12.1.1
- Oracle WebLogic Server, versiones 10.3.6.0, 12.1.3.0, 12.2.1.0 y 12.2.1.1
- Application Testing Suite, versiones 12.4.0.2, 12.5.0.2 y 12.5.0.3
- Enterprise Manager Base Platform, versiones 12.1.0.5, 13.1 y 13.2
- Enterprise Manager Ops Center, versiones 12.1.4, 12.2.2 y 12.3.2
- Oracle E-Business Suite, versiones 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4, 12.2.5 y 12.2.6
- Oracle Transportation Management, versiones 6.1 y 6.2
- PeopleSoft Enterprise HCM ePerformance, versión 9.2
- PeopleSoft Enterprise PeopleTools, versiones 8.54 y 8.55
- JD Edwards EnterpriseOne Tools, versión 9.2.1.1
- Siebel Applications, versión 16.1
- Oracle Commerce Platform, versiones 10.0.3.5, 10.2.0.5 y 11.2.0.2
- Oracle Fusion Applications, versiones 11.1.2 hasta 11.1.9
- Oracle Communications Indexing and Search Service, versiones anteriores a 1.0.5.28.0
- Oracle Communications Network Charging and Control, versiones 4.4.1.5, 5.0.0.1, 5.0.0.2, 5.0.1.0 y 5.0.2.0
- Oracle Communications Network Intelligence, versión 7.3.0.0
- Oracle FLEXCUBE Core Banking, versiones 5.1.0, 5.2.0 y 11.5.0
- Oracle FLEXCUBE Direct Banking, versiones 12.0.0, 12.0.1, 12.0.2 y 12.0.3
- Oracle FLEXCUBE Enterprise Limits and Collateral Management, versiones 12.0.0 y 12.0.2
- Oracle FLEXCUBE Investor Servicing, versiones 12.0.1, 12.0.2, 12.0.4, 12.1.0 y 12.3.0
- Oracle FLEXCUBE Private Banking, versiones 2.0.1, 2.2.0 y 12.0.1
- Oracle FLEXCUBE Universal Banking, versiones 11.3.0, 11.4.0, 12.0.0, 12.0.1, 12.0.2, 12.0.3, 12.1.0 y 12.2.0
- MICROS Lucas, versiones 2.9.1, 2.9.2, 2.9.3, 2.9.4 y 2.9.5
- Oracle Retail Allocation, versiones 12.0, 13.0, 13.1, 13.2, 13.3, 14.0 y 14.1
- Oracle Retail Assortment Planning, versiones 14.1 y 15.0
- Oracle Retail Order Broker, versiones 4.1, 5.1, 5.2, 15.0 y 16.0
- Oracle Retail Predictive Application Server, versiones 13.1, 13.2, 13.3, 13.4, 14.0, 14.1 y 15.0
- Oracle Retail Price Management, versiones 13.1, 13.2, 14.0 y 14.1
- Primavera P6 Enterprise Project Portfolio Management, versiones 8.2, 8.3, 8.4, 15.1, 15.2, 16.1 y 16.2
- Oracle Java SE, versiones 6u131, 7u121 y 8u112
- Oracle Java SE Embedded, versión 8u111
- Oracle JRockit, versión R28.3.12
- Oracle VM Server for Sparc, versiones 3.2 y 3.4
- Solaris, versión 11.3
- Oracle VM VirtualBox, versiones anteriores a 5.0.32 y anteriores a 5.1.14
- MySQL Cluster, versiones 7.2.26 y anteriores, 7.3.14 y anteriores y 7.4.12 y anteriores
- MySQL Enterprise Monitor, versiones 3.1.3.7856 y anteriores, 3.1.4.7895 y anteriores, 3.1.5.7958 y anteriores, 3.2.1.1049 y anteriores, 3.2.4.1102 y anteriores y 3.3.0.1098 y anteriores
- MySQL Server, versiones 5.5.53 y anteriores, 5.6.34 y anteriores y 5.7.16 y anteriores
- Cinco nuevas vulnerabilidades
corregidas en Oracle Database Server (tres de ellas explotable remotamente sin
autenticación), dos vulnerabilidades en Oracle Secure Backup (ambas explotables
remotamente sin autenticación) y una nueva vulnerabilidad corregida en Oracle
Big Data Graph.
- Otras 18 vulnerabilidades
afectan a Oracle Fusion Middleware. 16 de ellas podrían ser explotadas por un
atacante remoto sin autenticar. Los
componentes afectados son: Oracle Tuxedo, Oracle WebLogic Server, Oracle
GlassFish Server, Oracle Fusion Middleware, Oracle Outside In Technology y Oracle
JDeveloper.
- Esta actualización contiene ocho
nuevas actualizaciones de seguridad para Oracle Enterprise Manager Grid
Control, seis de ellas explotables remotamente sin autenticación.
- Dentro de Oracle Applications, 121
parches son para Oracle E-Business Suite, uno es para la suite de productos
Oracle Supply Chain, siete para productos Oracle PeopleSoft, uno para productos
Oracle JD Edwards, tres para Oracle Siebel CRM y uno para Oracle Commerce.
- Se incluyen también cuatro
nuevos parches para Oracle Communications Applications, dos de ellos tratan
vulnerabilidades explotables remotamente sin autenticación. También soluciona 37
nuevas vulnerabilidades en Oracle Financial Services Applications (14
explotables remotamente).
- Esta actualización contiene ocho
nuevas actualizaciones de seguridad para Oracle Retail Applications, dos de
ellas explotables remotamente sin autenticación.
- También se incluyen cuatro nuevos
parches de seguridad para software Oracle Primavera Products Suite, dos de
ellas podrían explotarse de forma remota sin autenticación.
- En lo referente a Oracle Java
SE se incluyen 17 nuevos parches de seguridad, 16 de ellos referentes a
vulnerabilidades que podrían ser explotadas por un atacante remoto sin
autenticar.
- Para la suite de productos
Oracle Sun Systems se incluyen cuatro nuevas actualizaciones, tres de ellas
afectan directamente a Solaris.
- 27 nuevas vulnerabilidades
afectan a MySQL Server (cinco de ellas podrían ser explotadas por un atacante
remoto sin autenticar).
- Esta actualización también contiene cuatro parches para Oracle Virtualización.
Para comprobar las matrices de
productos afectados, gravedad y la disponibilidad de parches, es necesario
comprobar la notificación oficial en:
Oracle Critical Patch Update Advisory – January
2017
Más información:
Oracle Critical Patch Update
Advisory - January 2017
_____________________________________________________________
Se Respetan Derechos de Autor.