[SECURITY-L] CAIS-Alerta: Multiplas Vulnerabilidades em Produtos Oracle - Abril 2008

CSIRT - UNICAMP security em unicamp.br
Ter Abr 22 10:50:41 -03 2008 

----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----

From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject:  CAIS-Alerta: Multiplas Vulnerabilidades em Produtos Oracle - Abril
 2008
To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Date: Fri, 18 Apr 2008 17:29:42 -0300 (BRT)

-----BEGIN PGP SIGNED MESSAGE-----


Prezados,

O CAIS esta' repassando o alerta da Oracle, intitulado "Oracle Critical 
Patch Update - April 2008", que trata de uma serie de correcoes para 
multiplas vulnerabilidades em diversos produtos Oracle.

No total 41 vulnerabilidades sao cobertas por estas correcoes. O impacto 
das vulnerabilidades depende do produto, componente ou configuracao do 
sistema. Consequencias potenciais incluem execucao remota de codigo 
arbitrario, obtencao de informacoes sensiveis e negacao de servico (DoS). 
Componentes vulneraveis podem estar disponiveis para atacantes remotos 
mesmo que estes nao tenham se autenticado. As correcoes estao distribuidas 
da seguinte forma:

. 17 novas correcoes para o Oracle Database
.  3 novas correcoes para o Oracle Application Server
. 11 novas correcoes para o Oracle E-Business Suite e Applications
.  1 nova  correcao  para o Oracle Oracle Enterprise Manager
.  3 novas correcoes para o Oracle PeopleSoft Enterprise e JD Edwards EnterpriseOne
.  6 novas correcoes para o Oracle Siebel Enterprise


Sistemas afetados:

. Oracle Database 11g, versao 11.1.0.6
. Oracle Database 10g Release 2, versoes 10.2.0.2, 10.2.0.3
. Oracle Database 10g, versao 10.1.0.5
. Oracle Database 9i Release 2, versoes 9.2.0.8, 9.2.0.8DV
. Oracle Application Server 10g Release 3 (10.1.3), versoes 10.1.3.1.0,10.1.3.3.0
. Oracle Application Server 10g Release 2 (10.1.2), versoes 10.1.2.0.2,10.1.2.1.0, 10.1.2.2.0
. Oracle Application Server 10g (9.0.4), versao 9.0.4.3
. Oracle Collaboration Suite 10g, versao 10.1.2
. Oracle E-Business Suite Release 12, versao 12.0.4
. Oracle E-Business Suite Release 11i, versao 11.5.10.2
. Oracle PeopleSoft Enterprise PeopleTools versoes 8.22.19, 8.48.16, 8.49.09
. Oracle PeopleSoft Enterprise HCM versoes 8.8 SP1, 8.9, 9.0
. Oracle Siebel SimBuilder versoes 7.8.2, 7.8.5
. Oracle Database 9i, versao 9.0.1.5 FIPS+
. Oracle Application Server 9i Release 1, versao 1.0.2.2


Correcoes disponiveis:

As correcoes para os produtos Oracle estao disponiveis mediante usuario e 
senha, atraves dos enderecos fornecidos abaixo:

. Oracle Database
  http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=552248.1#DBAVAIL

. Oracle Application Server
  http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=552248.1#ASMIDTIER

. Oracle Collaboration Suite
  http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=552248.1#OCSAVAIL

. Oracle E-Business Suite e Application
  http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=557157.1

. Oracle Enterprise Manager
  http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=552248.1#OEMAVAIL

. Oracle PeopleSoft Enterprise e JD Edwards Enterprise
  http://www.peoplesoft.com/corp/en/support/security_index.jsp

. Oracle Siebel Enterprise
  http://metalink.oracle.com/metalink/plsql/showdoc?db=Not&id=562615.1


Mais informacoes:

. Oracle Critical Patch Update - January 2008
  http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2008.html


O CAIS recomenda que os administradores mantenham seus sistemas e 
aplicativos sempre atualizados, de acordo com as ultimas versoes e 
correcoes oferecidas pelos fabricantes.

Os Alertas do CAIS tambem sao oferecidos no formato RSS/RDF:
http://www.rnp.br/cais/alertas/rss.xml


Atenciosamente,

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais em cais.rnp.br       http://www.cais.rnp.br                #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponivel   http://www.rnp.br/cais/cais-pgp.key   #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.6 (GNU/Linux)
Comment: Made with pgp4pine 1.76

iQCVAwUBSAkExukli63F4U8VAQE5UAP+N9ngpWbCGyaADA8DdreQTq+9JDkZxN2J
Jk0zecAooECcZyASpUnlfR5I3VwIE4krvhYjiWMJ8yoVoPFn6Jzu4KUIns5+mVJL
sUYSlIGIEIsA0h/1yURc5JBRCevMqofX3awtmM7dMxkXNq6EK+A1VrMl2PGqc+AT
zPCoBZ0wb9g=
=34EM
-----END PGP SIGNATURE-----

----- End forwarded message -----

Mais detalhes sobre a lista de discussão SECURITY-L