CERT-FI haavoittuvuustiedote 105/2010

13.7.2010

Oraclen heinäkuun päivityspaketti korjaa 59 haavoittuvuutta eri tuotteissa


Kohde:	- palvelimet ja palvelinsovellukset	Lisätietoja
Hyökkäystapa:	- paikallisesti - ilman kirjautumista - etäkäyttö - ilman käyttäjän toimia	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen - käyttövaltuuksien laajentaminen - tietojen muokkaaminen - luottamuksellisen tiedon hankkiminen - palvelunestohyökkäys - suojauksen ohittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Oraclen heinäkuun päivityspaketti korjaa 59 eri haavoittuvuutta useissa eri Oraclen tuotteissa. Osa haavoittuvuuksista vaikuttaa useisiin tuotteisiin. TimesTen In-Memory Database ja Oracle Secure Backup -tuotteisiin liittyvillä haavoittuvuuksilla on korkein mahdollinen CVSS (Common Vulnerability Scoring System) -vakavuusarvo (10.0). Oracle suosittelee korjausten asentamista niin pian kuin mahdollista.

Oracle Database Server -tietokantapalvelimeen liittyvät päivitykset jakautuvat siten, että kuusi päivitystä koskee Oracle Database Server -tietokantapalvelinta, kaksi TimesTen In-Memory Database -tietokantaa ja viisi Oracle Secure Backup -varmistustyökalua. Osaa haavoittuvuuksia voidaan hyväksikäyttää verkkoyhteyden kautta ilman tunnistautumista ja kirjautumista.

Seitsemän päivitystä liittyy Oracle Fusion Middleware -tuoteperheeseen. Viittä haavoittuvuutta voidaan hyväksikäyttää verkkoyhteyden kautta ilman tunnistautumista ja kirjautumista.

Yksi päivitys liittyy tuotteeseen Oracle Enterprise Manager. Haavoittuvuutta voidaan hyväksikäyttää verkkoyhteyden kautta ilman tunnistautumista ja kirjautumista.

Oracle Applications -tuoteperheeseen liittyvät päivitykset jakautuvat siten, että seitsemän päivitystä koskee tuoteryhmää Oracle E-Business Suite, kaksi tuoteryhmää Oracle Supply Chain Products Suite ja kahdeksan tuotteita Oracle PeopleSoft ja JDEdwards Suite. Osaa haavoittuvuuksia voidaan hyväksikäyttää verkkoyhteyden kautta ilman tunnistautumista ja kirjautumista.

21 päivitystä liittyy tuoteperheeseen Oracle Solaris Products Suite. Seitsemää haavoittuvuutta voidaan hyväksikäyttää verkkoyhteyden kautta ilman tunnistautumista ja kirjautumista.

HAAVOITTUVAT OHJELMISTOT:

Oracle Database 11g Release 2, versio 11.2.0.1
Oracle Database 11g Release 1, versio 11.1.0.7
Oracle Database 10g Release 2, versiot 10.2.0.3 ja 10.2.0.4
Oracle Database 10g, versio 10.1.0.5
Oracle Database 9i Release 2, versiot 9.2.0.8 ja 9.2.0.8DV
Oracle TimesTen In-Memory Database, versiot 7.0.6.0 ja 11.2.1.4.1
Oracle Secure Backup, versio 10.3.0.1
Oracle Application Server, 10gR2, versio 10.1.2.3.0
Oracle Identity Management 10g, versio 10.1.4.0.1
Oracle WebLogic Server 11gR1, versiot 10.3.1, 10.3.2 ja 10.3.3
Oracle WebLogic Server 10gR3, versio 10.3.0
Oracle WebLogic Server 10.0 mukaan lukien MP2
Oracle WebLogic Server 9.0, 9.1, 9.2 mukaan lukien MP3
Oracle WebLogic Server 8.1 mukaan lukien SP6
Oracle WebLogic Server 7.0 mukaan lukien SP7
Oracle JRockit R28.0.0 ja aikaisemmat (JDK/JRE 5 ja 6)
Oracle JRockit R27.6.6 ja aikaisemmat (JDK/JRE 1.4.2, 5 ja 6)
Oracle Business Process Management, versiot 5.7.3, 6.0.5, 10.3.1 ja 10.3.2
Oracle Enterprise Manager Grid Control 10g Release 5, versio 10.2.0.5
Oracle Enterprise Manager Grid Control 10g Release 1, versio 10.1.0.6
Oracle E-Business Suite Release 12, versiot 12.0.4, 12.0.5, 12.0.6, 12.1.1 ja 12.1.2
Oracle E-Business Suite Release 11i, versiot 11.5.10 ja 11.5.10.2
Oracle Transportation Manager, versiot 5.5.05.07, 5.5.06.00 ja 6.0.03
PeopleSoft Enterprise Campus Solutions, versio 9.0
PeopleSoft Enterprise CRM, versiot 9.0 ja 9.1
PeopleSoft Enterprise FSCM, versiot 8.9, 9.0 ja 9.1
PeopleSoft Enterprise HCM, versiot 8.9, 9.0 ja 9.1
PeopleSoft Enterprise PeopleTools, versiot 8.49 ja 8.50
Oracle Sun Product Suite

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuvat ohjelmistot valmistajan ohjeiden mukaisesti.

LISÄTIETOA:

PÄIVITYSHISTORIA:

13.7.2010, kello 23.38: Julkaistu

Sivua päivitetty 13.07.2010

Tulostusversio