CERT-FI haavoittuvuustiedote 009/2012

18.1.2012

Oracle korjasi 78 haavoittuvuutta

Kohde:	- palvelimet ja palvelinsovellukset - työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- paikallisesti - ilman kirjautumista - etäkäyttö - ilman käyttäjän toimia	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen - käyttövaltuuksien laajentaminen - tietojen muokkaaminen - luottamuksellisen tiedon hankkiminen - palvelunestohyökkäys - suojauksen ohittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Oracle on julkaissut ohjelmistopäivitykset 78 haavoittuvuuteen, joista vakavimmat voivat mahdollistaa hyökkääjän koodin suorittamisen kohteena olevassa järjestelmässä.

Oracle Database Server

Oracle Database Server -ohjelmiston päivitykset sisältävät korjaukset kahteen haavoittuvuuteen, joista toista voi käyttää hyväksi verkon kautta ilman kirjautumista.

Päivitykset koskevat seuraavia ohjelmistokomponentteja:

• Core RDBMS (CVE-2012-0082)
• Listener (CVE-2012-0072)

Oracle Fusion Middleware

Oracle Fusion Middleware -ohjelmiston päivitykset sisältävät korjaukset yhteentoista haavoittuvuuteen, joista viittä voi käyttää hyväksi verkon kautta ilman kirjautumista.

Päivitykset koskevat seuraavia ohjelmistokomponentteja:

• Oracle Outside In Technology (CVE-2011-4516, CVE-2011-4517, CVE-2012-0110)
• Oracle Web Services Manager (CVE-2011-3531, CVE-2011-3568, CVE-2011-3569)
• Oracle WebCenter Content (CVE-2012-0083, CVE-2012-0084, CVE-2012-0085)
• Oracle WebLogic Server (CVE-2011-3566, CVE-2012-0077)

Oracle E-Business Suite

Oracle E-Business Suite -ohjelmiston päivitykset sisältävät korjaukset kolmeen haavoittuvuuteen, joista yhtä voi käyttää hyväksi verkon kautta ilman kirjautumista.

Päivitykset koskevat seuraavia ohjelmistokomponentteja:

• Oracle Application Object Library (CVE-2012-0073, CVE-2012-0078)
• Oracle Forms (CVE-2011-2271)

Oracle Supply Chain

Oracle Supply Chain -tuotteiden päivitys sisältää korjauksen yhteen haavoittuvuuteen, jota voi käyttää hyväksi verkon kautta ilman kirjautumista.

Päivitys koskee seuraavia ohjelmistokomponentteja:

• Oracle Transportation Management (CVE-2011-3192)

Oracle PeopleSoft

Oracle PeopleSoft -tuotteiden päivitykset sisältävät korjaukset kuuteen haavoittuvuuteen. Haavoittuvuuksia ei voi käyttää hyväksi verkon kautta ilman kirjautumista.

Päivitykset koskevat seuraavia ohjelmistokomponentteja:

• PeopleSoft Enterprise CRM (CVE-2012-0074)
• PeopleSoft Enterprise HCM (CVE-2012-0076, CVE-2012-0080, CVE-2012-0088, CVE-2012-0089)
• PeopleSoft Enterprise PeopleTools (CVE-2012-0091)

Oracle JD Edwards

Oracle JD Edwards -tuotteiden päivitykset sisältävät korjaukset kahdeksaan haavoittuvuuteen, joista yhtä voi käyttää hyväksi verkon kautta ilman kirjautumista.

Päivitykset koskevat seuraavia ohjelmistokomponentteja:

• JD Edwards EnterpriseOne Tools (CVE-2011-2317, CVE-2011-2021, CVE-2011-2024, CVE-2011-2025, CVE-2011-2026, CVE-2011-3509, CVE-2011-3514, CVE-2011-3524)

Oracle Sun Products Suite

Oracle Sun -tuotteiden päivitykset sisältävät korjaukset seitsemääntoista haavoittuvuuteen, joista kuutta voi käyttää hyväksi verkon kautta ilman kirjautumista.

Päivitykset koskevat seuraavia ohjelmistokomponentteja:

• GlassFish Enterprise Server (CVE-2011-3564, CVE-2011-5035, CVE-2012-0081, CVE-2012-0104)
• Oracle Communications Unified (CVE-2011-3565, CVE-2011-3570, CVE-2011-3573, CVE-2011-3574)
• Oracle OpenSSO (CVE-2012-0079)
• Solaris (CVE-2012-0094, CVE-2012-0096, CVE-2012-0097, CVE-2012-0098, CVE-2012-0099, CVE-2012-0100, CVE-2012-0103, CVE-2012-0109)

Oracle Virtualization

Oracle Virtualization -tuotteiden päivitykset sisältävät korjaukset kolmeen haavoittuvuuteen. Haavoittuvuuksia ei voi käyttää hyväksi verkon kautta ilman kirjautumista.

Päivitykset koskevat seuraavia ohjelmistokomponentteja:

• Oracle VM VirtualBox (CVE-2012-0105, CVE-2012-0111)
• Virtual Desktop Infrastructure (VDI) (CVE-2011-3571)

Oracle MySQL

Oracle MySQL -ohjelmiston päivitykset sisältävtät korjaukset 27 haavoittuvuuteen, joista yhtä voi käyttää hyväksi verkon kautta ilman kirjautumista.

Päivitykset koskevat seuraavia ohjelmistokomponentteja:

• MySQL Server (CVE-2011-2262, CVE-2012-0075, CVE-2012-0087, CVE-2012-0101, CVE-2012-0102, CVE-2012-0112, CVE-2012-0113, CVE-2012-0114, CVE-2012-0115, CVE-2012-0116, CVE-2012-0117, CVE-2012-0118, CVE-2012-0119, CVE-2012-0120, CVE-2012-0484, CVE-2012-0485, CVE-2012-0486, CVE-2012-0487, CVE-2012-0488, CVE-2012-0489, CVE-2012-0490, CVE-2012-0491, CVE-2012-0492, CVE-2012-0493, CVE-2012-0494, CVE-2012-0495, CVE-2012-0496)

HAAVOITTUVAT OHJELMISTOT:

• Oracle Database 11g Release 2, versiot 11.2.0.2, 11.2.0.3
• Oracle Database 11g Release 1, versiot 11.1.0.7
• Oracle Database 10g Release 2, versiot 10.2.0.3, 10.2.0.4, 10.2.0.5
• Oracle Database 10g Release 1, versio 10.1.0.5
• Oracle Fusion Middleware 11g Release 1, versiot 11.1.1.3.0, 11.1.1.4.0, 11.1.1.5.0
• Oracle Application Server 10g Release 3, versio 10.1.3.5.0
• Oracle Outside In Technology, versiot 8.3.5, 8.3.7
• Oracle WebLogic Server, versiot 9.2.4, 10.0.2, 11gR1 (10.3.3, 10.3.4, 10.3.5)
• Oracle E-Business Suite Release 12, versiot 12.1.2, 12.1.3
• Oracle E-Business Suite Release 11i, versiot 11.5.10.2
• Oracle Transportation Management, versiot 5.5.06, 6.0, 6.1, 6.2
• Oracle PeopleSoft Enterprise CRM, versio 8.9
• Oracle PeopleSoft Enterprise HCM, versiot 8.9, 9.0, 9.1
• Oracle PeopleSoft Enterprise PeopleTools, versio 8.52
• Oracle JDEdwards, versio 8.98
• Oracle Sun Product Suite
• Oracle Sun Ray, versio 5.3
• Oracle VM VirtualBox, versio 4.1
• Oracle Virtual Desktop Infrastructure, versio 3.2
• Oracle MySQL Server, versiot 5.0, 5.1, 5.5, 5.6

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuvat ohjelmistot korjattuihin versioihin valmistajan ohjeiden mukaisesti.

LISÄTIETOA:

• http://www.oracle.com/technetwork/topics/security/cpujan2012-366304.html
• CVE-2012-0082, CVE-2012-0072
• CVE-2011-4516, CVE-2011-4517, CVE-2012-0110, CVE-2011-3531
• CVE-2011-3568, CVE-2011-3569, CVE-2012-0083, CVE-2012-0084
• CVE-2012-0085, CVE-2011-3566, CVE-2012-0077
• CVE-2012-0073, CVE-2012-0078, CVE-2011-2271
• CVE-2011-3192
• CVE-2012-0074, CVE-2012-0076, CVE-2012-0080, CVE-2012-008
• CVE-2012-0089, CVE-2012-0091
• CVE-2011-2317, CVE-2011-2021, CVE-2011-2024, CVE-2011-2025
• CVE-2011-2026, CVE-2011-3509, CVE-2011-3514, CVE-2011-3524
• CVE-2011-3564, CVE-2011-5035, CVE-2012-0081, CVE-2012-0104
• CVE-2011-3565, CVE-2011-3570, CVE-2011-3573, CVE-2011-3574
• CVE-2012-0079, CVE-2012-0094, CVE-2012-0096, CVE-2012-0097
• CVE-2012-0098, CVE-2012-0099, CVE-2012-0100, CVE-2012-0103
• CVE-2012-0109
• CVE-2012-0105, CVE-2012-0111, CVE-2011-3571
• CVE-2011-2262, CVE-2012-0075, CVE-2012-0087, CVE-2012-0101
• CVE-2012-0102, CVE-2012-0112, CVE-2012-0113, CVE-2012-0114
• CVE-2012-0115, CVE-2012-0116, CVE-2012-0117, CVE-2012-0118
• CVE-2012-0119, CVE-2012-0120, CVE-2012-0484, CVE-2012-0485
• CVE-2012-0486, CVE-2012-0487, CVE-2012-0488, CVE-2012-0489
• CVE-2012-0490, CVE-2012-0491, CVE-2012-0492, CVE-2012-0493
• CVE-2012-0494, CVE-2012-0495, CVE-2012-0496

PÄIVITYSHISTORIA:

16.1.2012, kello 11.53: Julkaistu

Sivua päivitetty 18.01.2012

Tulostusversio