[SECURITY-L] CAIS-Alerta: Multiplas Vulnerabilidades em Produtos Oracle - Julho 2008
CSIRT - UNICAMP
security em unicamp.br
Qui Jul 17 15:55:33 -03 2008
----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----
From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject: CAIS-Alerta: Multiplas Vulnerabilidades em Produtos Oracle - Julho
2008
To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Date: Wed, 16 Jul 2008 16:24:31 -0300 (BRT)
-----BEGIN PGP SIGNED MESSAGE-----
Prezados,
O CAIS esta' repassando o alerta da Oracle, intitulado "Oracle Critical
Patch Update - July 2008", que trata de uma serie de correcoes para
multiplas vulnerabilidades em diversos produtos Oracle.
No total 45 vulnerabilidades sao cobertas por estas correcoes. O impacto
das vulnerabilidades depende do produto, componente ou configuracao do
sistema. Consequencias potenciais incluem execucao remota de codigo
arbitrario, obtencao de informacoes sensiveis e negacao de servico (DoS).
Componentes vulneraveis podem estar disponiveis para atacantes remotos
mesmo que estes nao tenham se autenticado.
As correcoes estao distribuidas da seguinte forma:
. 14 novas correcoes para o Oracle Database
. 9 novas correcoes para o Oracle Application Server
. 6 novas correcoes para o Oracle E-Business Suite e Applications
. 2 novas correcoes para o Oracle Oracle Enterprise Manager
. 7 novas correcoes para o Oracle PeopleSoft Enterprise e JD Edwards EnterpriseOne
. 7 novas correcoes para o BEA Product Suite
Sistemas afetados:
. Oracle Database 11g, versao 11.1.0.6
. Oracle Database 10g Release 2, versoes 10.2.0.2, 10.2.0.3, 10.2.0.4
. Oracle Database 10g, versao 10.1.0.5
. Oracle Database 9i Release 2, versoes 9.2.0.8, 9.2.0.8DV
. Oracle Application Server 10g Release 3 (10.1.3), versoes 10.1.3.1.0, 10.1.3.3.0
. Oracle Application Server 10g Release 2 (10.1.2), versoes 10.1.2.2.0, 10.1.2.3.0
. Oracle Application Server 10g (9.0.4), versao 9.0.4.3
. Oracle Hyperion BI Plus versoes 9.2.0.3, 9.2.1.0, 9.3.1.0
. Oracle Hyperion Performance Suite versoes 8.3.2.4, 8.5.0.3
. OracleE-Business Suite Release 12, versao 12.0.4
. Oracle E-Business Suite Release 11i, versao 11.5.10.2
. Oracle Enterprise Manager Database Control 11i versao 11.1.0.6
. Oracle Enterprise Manager Database Control 10g Release 2, versoes 10.2.0.2, 10.2.0.3, 10.2.0.4
. Oracle Enterprise Manager Database Control 10g Release 1, versoes 10.1.0.5
. Oracle Enterprise Manager Grid Control 10g Release 1, versoes 10.1.0.5, 10.1.0.6
. Oracle PeopleSoft Enterprise PeopleTools versoes 8.48.17, 8.49.11
. Oracle PeopleSoft Enterprise CRM versoes 8.9, 9.0
. Oracle WebLogic Server (antigo BEA WebLogic Server) 10.0 ate' MP1
. Oracle WebLogic Server (antigo BEA WebLogic Server) 9.0, 9.1, 9.2 ate' MP3
. Oracle WebLogic Server (antigo BEA WebLogic Server) 8.1 ate' SP6
. Oracle WebLogic Server (antigo BEA WebLogic Server) 7.0 ate' SP7
. Oracle WebLogic Server (antigo BEA WebLogic Server) 6.1 ate' SP7
Correcoes disponiveis:
As correcoes para os produtos Oracle estao disponiveis mediante usuario e
senha, atraves dos enderecos fornecidos abaixo:
. Oracle Database
http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=579278.1#DBAVAIL
. Oracle Application Server
http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=579278.1#ASMIDTIER
. Oracle E-Business Suite e Application
http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=605117.1
. Oracle Enterprise Manager
http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=579278.1#OEMAVAIL
. Oracle PeopleSoft Enterprise e JD Edwards Enterprise
http://www.peoplesoft.com/corp/en/support/security_index.jsp
. BEA Product Suite
https://support.bea.com/application_content/product_portlets/securityadvisories/index.html
Mais informacoes:
. Oracle Critical Patch Update - July 2008
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2008.html
. SA31087 - Oracle Products Multiple Vulnerabilities
http://secunia.com/advisories/31087/
. SANS ISC Handler's Diary 2008-07-15: Oracle (and BEA, Hyperion and TimesTen) critical patch update July 15th,2008
http://isc.sans.org/diary.html?storyid=4732
Identificador CVE (http://cve.mitre.org): CVE-2007-1359, CVE-2008-2576,
CVE-2008-2577, CVE-2008-2578,
CVE-2008-2579, CVE-2008-2580,
CVE-2008-2581, CVE-2008-2582,
CVE-2008-2583, CVE-2008-2585,
CVE-2008-2586, CVE-2008-2587,
CVE-2008-2589, CVE-2008-2590,
CVE-2008-2591, CVE-2008-2592,
CVE-2008-2593, CVE-2008-2594,
CVE-2008-2595, CVE-2008-2596,
CVE-2008-2597, CVE-2008-2598,
CVE-2008-2599, CVE-2008-2600,
CVE-2008-2601, CVE-2008-2602,
CVE-2008-2603, CVE-2008-2604,
CVE-2008-2605, CVE-2008-2606,
CVE-2008-2607, CVE-2008-2608,
CVE-2008-2609, CVE-2008-2610,
CVE-2008-2611, CVE-2008-2612,
CVE-2008-2613, CVE-2008-2614,
CVE-2008-2615, CVE-2008-2616,
CVE-2008-2617, CVE-2008-2618,
CVE-2008-2620, CVE-2008-2621,
CVE-2008-2622
O CAIS recomenda que os administradores mantenham seus sistemas e
aplicativos sempre atualizados, de acordo com as ultimas versoes e
correcoes oferecidas pelos fabricantes.
Os Alertas do CAIS tambem sao oferecidos no formato RSS/RDF:
http://www.rnp.br/cais/alertas/rss.xml
Atenciosamente,
################################################################
# CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) #
# Rede Nacional de Ensino e Pesquisa (RNP) #
# #
# cais em cais.rnp.br http://www.cais.rnp.br #
# Tel. 019-37873300 Fax. 019-37873301 #
# Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.6 (GNU/Linux)
Comment: Made with pgp4pine 1.76
iQCVAwUBSH5LAekli63F4U8VAQFDOgP+KCEUsCcS0SRgf9si+W/YhXR3UliPf0Fn
4+28n0DhdTls2cdWMil2VBH0yvVCS3YZIqJ6P/2u15W9L9nqUedwmUy0BuI1KcR5
lqDDtjUayEMHbl7sp9djYxtn2eatp5qiGfTb8y8zVX5r5WtT6VegMee2YXe9lLTn
4lcCjtdQPhA=
=4nii
-----END PGP SIGNATURE-----
--
Para SAIR da lista rnp-alerta envie uma mensagem em branco para:
<rnp-alerta-unsubscribe em cais.rnp.br>
----- End forwarded message -----
Mais detalhes sobre a lista de discussão SECURITY-L