[SECURITY-L] CAIS-Alerta: Multiplas Vulnerabilidades em Produtos Oracle - Janeiro 2008

CSIRT - UNICAMP security em unicamp.br
Sex Jan 25 09:26:06 -02 2008 

----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----

From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject:  CAIS-Alerta: Multiplas Vulnerabilidades em Produtos Oracle - Janeiro
 2008
To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Date: Thu, 17 Jan 2008 18:44:37 -0200 (BRST)

-----BEGIN PGP SIGNED MESSAGE-----


Prezados,

O CAIS esta' repassando o alerta da Oracle, intitulado "Oracle Critical 
Patch Update - January 2008", que trata de uma serie de correcoes para 
multiplas vulnerabilidades em diversos produtos Oracle.

No total 26 vulnerabilidades sao cobertas por estas correcoes. O impacto 
das vulnerabilidades depende do produto, componente ou configuracao do 
sistema. Consequencias potenciais incluem execucao remota de codigo 
arbitrario, obtencao de informacoes sensiveis e negacao de servico (DoS). 
Componentes vulneraveis podem estar disponiveis para atacantes remotos 
mesmo que estes nao tenham se autenticado. As correcoes estao distribuidas 
da seguinte forma:

.  8 novas correcoes para o Oracle Database
.  6 novas correcoes para o Oracle Application Server
.  1 nova  correcao  para o Oracle Collaboration Suite
.  7 novas correcoes para o Oracle E-Business Suite e Applications
.  4 novas correcoes para o Oracle PeopleSoft Enterprise PeopleTools


Sistemas afetados:

. Oracle Database 11g, versao 11.1.0.6
. Oracle Database 10g Release 2, versoes 10.2.0.2, 10.2.0.3
. Oracle Database 10g, versao 10.1.0.5
. Oracle Database 9i Release 2, versoes 9.2.0.8, 9.2.0.8DV
. Oracle Application Server 10g Release 3 (10.1.3), versoes 10.1.3.0.0,
  10.1.3.1.0, 10.1.3.3.0
. Oracle Application Server 10g Release 2 (10.1.2), versoes 10.1.2.0.2,
  10.1.2.1.0, 10.1.2.2.0
. Oracle Application Server 10g (9.0.4), versao 9.0.4.3
. Oracle Collaboration Suite 10g, versao 10.1.2
. Oracle E-Business Suite Release 12, versoes 12.0.0 - 12.0.3
. Oracle E-Business Suite Release 11i, versoes 11.5.9 - 11.5.10 CU2 
. Oracle PeopleSoft Enterprise PeopleTools versoes 8.22, 8.48, 8.49
. Oracle Database 9i, versao 9.0.1.5 FIPS+
. Oracle Application Server 9i Release 1, versao 1.0.2.2


Correcoes disponiveis:

As correcoes para os produtos Oracle estao disponiveis mediante usuario e 
senha, atraves dos enderecos fornecidos abaixo:

. Oracle Database
  http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=466757.1#DBAVAIL

. Oracle Application Server
  http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=466757.1#ASMIDTIER

. Oracle Collaboration Suite
  http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=466757.1#OCSAVAIL

. Oracle E-Business Suite e Application
  http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=467742.1

. Oracle Enterprise Manager
  http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=466757.1#DBAVAIL

. Oracle PeopleSoft Enterprise e JD Edwards Enterprise
  http://www.peoplesoft.com/corp/en/support/security_index.jsp


Mais informacoes:

. Oracle Critical Patch Update - January 2008
  http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2008.html


O CAIS recomenda que os administradores mantenham seus sistemas e 
aplicativos sempre atualizados, de acordo com as ultimas versoes e 
correcoes oferecidas pelos fabricantes.

Os Alertas do CAIS tambem sao oferecidos no formato RSS/RDF:
http://www.rnp.br/cais/alertas/rss.xml


Atenciosamente,

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais em cais.rnp.br       http://www.cais.rnp.br                #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponivel   http://www.rnp.br/cais/cais-pgp.key   #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.6 (GNU/Linux)
Comment: Made with pgp4pine 1.76

iQCVAwUBR4++POkli63F4U8VAQGlTwP/TG6ecNnfD7PFa5uZJwV1i1SnD5/Dhoqt
uPF15RXvckyWATEGjOTCSwFIZkYP4D/kIlPQd/uBv5ksN9wqg+A19XkkjECMoObC
BJLhUM7K9HSwI9Ueez2vVm7CstTcGDJWG0hJ5iizCQBWVcOov05hxy1aKmCPZgZ5
xLpGZfGHAlk=
=iLoM
-----END PGP SIGNATURE-----


----- End forwarded message -----

Mais detalhes sobre a lista de discussão SECURITY-L