CERT-FI haavoittuvuustiedote 115/2012

18.7.2012

Oracle julkaisi heinäkuun päivityksensä

Kohde:	- palvelimet ja palvelinsovellukset - työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- paikallisesti - ilman kirjautumista - etäkäyttö - ilman käyttäjän toimia	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen - käyttövaltuuksien laajentaminen - tietojen muokkaaminen - luottamuksellisen tiedon hankkiminen - palvelunestohyökkäys - suojauksen ohittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Oracle on julkaissut heinäkuun ohjelmistopäivityksensä. Päivityksissä korjataan 88 kriittiseksi luokiteltua haavoittuvuutta, joista vakavimmat voivat mahdollistaa hyökkääjän ohjelmakoodin suorittamisen kohdejärjestelmässä. Haavoittuvat ympäristöt on syytä päivittää heti kun mahdollista.

Oracle Database Server

Päivitykset koskevat seuraavia ohjelmistokomponentteja:

• Core RDBMS
• Network Layer

Oracle Application Express Listener

Päivitys koskee seuraavaa ohjelmistokomponenttia:

• Oracle Application Express Listener

Oracle Secure Backup

Päivitykset koskevat seuraavia ohjelmistokomponentteja:

• Apache
• PHP

Oracle Fusion Middleware

Päivitykset koskevat seuraavia ohjelmistokomponentteja:

• Enterprise Manager for Fusion Middleware
• Oracle HTTP Server
• Oracle JRockit
• Oracle MapViewer
• Oracle Outside In Technology
• Portal

Oracle Hyperion

Päivitys koskee seuraavaa ohjelmistokomponenttia:

• Hyperion BI+

Oracle Enterprise Manager Grid Control

Päivitys koskee seuraavaa ohjelmistokomponenttia:

• Enterprise Manager for Oracle Database

Oracle E-Business Suite

Päivitykset koskevat seuraavia ohjelmistokomponentteja:

• Oracle Application Object Library
• Oracle E-Business Intelligence

Oracle Supply Chain Products Suite

Päivitykset koskevat seuraavia ohjelmistokomponentteja:

• Oracle AutoVue
• Oracle Transportation Management

Oracle PeopleSoft Products

Päivitykset koskevat seuraavia ohjelmistokomponentteja:

• PeoleSoft Enterprise PeopleTools
• PeopleSoft Enterprise HRMS
• PeopleSoft Enterprise PeopleTools

Oracle Siebel CRM

Päivitys koskee seuraavaa ohjelmistokomponenttia:

• Siebel CRM

Oracle Industry Applications

Päivitys koskee seuraavaa ohjelmistokomponenttia:

• Oracle Clinical Remote Data Capture Option
  

Oracle Sun Products

Päivitykset koskevat seuraavia ohjelmistokomponentteja:

• GlassFish Enterprise Server
• Oracle iPlanet Web Server
• Solaris
• Solaris Cluster
• SPARC T-Series Servers

Oracle MySQL

Päivitys koskee seuraavaa ohjelmistokomponenttia:

• MySQL Server

HAAVOITTUVAT OHJELMISTOT:

• Oracle Database 11g Release 2, versiot 11.2.0.2, 11.2.0.3
• Oracle Database 11g Release 1, versiot 11.1.0.7
  
• Oracle Database 10g Release 2, versions 10.2.0.3, 10.2.0.4, 10.2.0.5
• Oracle Secure Backup, version 10.3.0.3, 10.4.0.1
• Oracle Fusion Middleware 11g Release 2, version 11.1.2.0
• Oracle Fusion Middleware 11g Release 1, versions 11.1.1.5, 11.1.1.6
• Oracle Application Server 10g Release 3, version 10.1.3.5
• Oracle Identity Management 10g, version 10.1.4.3
• Hyperion BI+, version 11.1.1.x
• Oracle JRockit versions, R28.2.3 and earlier, R27.7.2 and earlier
• Oracle Map Viewer, versions 10.1.3.1, 11.1.1.5, 11.1.1.6
• Oracle Outside In Technology, versions 8.3.5, 8.3.7
• Enterprise Manager Plugin for Database 12c Release 1, versions 12.1.0.1, 12.1.0.2
• Enterprise Manager Grid Control 11g Release 1, version 11.1.0.1
• Enterprise Manager Grid Control 10g Release 1, version 10.2.0.5
• Oracle E-Business Suite Release 12, versions 12.0.4, 12.0.6, 12.1.1, 12.1.2, 12.1.3
• Oracle E-Business Suite Release 11i, version 11.5.10.2
• Oracle Transportation Management, versions 5.5.06, 6.0, 6.1, 6.2
• Oracle AutoVue, versions 20.0.2, 20.1
• Oracle PeopleSoft Enterprise HRMS, versions 9.0, 9.1
• Oracle PeopleSoft Enterprise PeopleTools, versions 8.50, 8.51, 8.52
• Oracle Siebel CRM, versions 8.1.1, 8.2.2
• Oracle Clinical Remote Data Capture Option, versions 4.6, 4.6.2, 4.6.3
• Oracle Sun Product Suite
• Oracle MySQL Server, versions 5.1, 5.5
  
  

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuvat ohjelmistot korjattuihin versioihin valmistajan ohjeiden mukaisesti.

LISÄTIETOA:

• http://www.oracle.com/technetwork/topics/security/cpujul2012-392727.html
• CVE-2001-0323, CVE-2008-4609, CVE-2011-0419, CVE-2011-2699
• CVE-2011-3192, CVE-2011-3368, CVE-2011-3562, CVE-2011-4317
• CVE-2011-4358, CVE-2011-4885, CVE-2012-0540, CVE-2012-0563
• CVE-2012-1687, CVE-2012-1689, CVE-2012-1715, CVE-2012-1727
• CVE-2012-1728, CVE-2012-1729, CVE-2012-1730, CVE-2012-1731
• CVE-2012-1732, CVE-2012-1733, CVE-2012-1734, CVE-2012-1735
• CVE-2012-1736, CVE-2012-1737, CVE-2012-1738, CVE-2012-1739
• CVE-2012-1740, CVE-2012-1741, CVE-2012-1742, CVE-2012-1743
• CVE-2012-1744, CVE-2012-1745, CVE-2012-1746, CVE-2012-1747
• CVE-2012-1748, CVE-2012-1749, CVE-2012-1750, CVE-2012-1752
• CVE-2012-1753, CVE-2012-1754, CVE-2012-1756, CVE-2012-1757
• CVE-2012-1758, CVE-2012-1759, CVE-2012-1760, CVE-2012-1761
• CVE-2012-1762, CVE-2012-1764, CVE-2012-1765, CVE-2012-1766
• CVE-2012-1767, CVE-2012-1768, CVE-2012-1769, CVE-2012-1770
• CVE-2012-1771, CVE-2012-1772, CVE-2012-1773, CVE-2012-3106
• CVE-2012-3107, CVE-2012-3108, CVE-2012-3109, CVE-2012-3110
• CVE-2012-3111, CVE-2012-3112, CVE-2012-3113, CVE-2012-3114
• CVE-2012-3115, CVE-2012-3116, CVE-2012-3117, CVE-2012-3118
• CVE-2012-3119, CVE-2012-3120, CVE-2012-3121, CVE-2012-3122
• CVE-2012-3123, CVE-2012-3124, CVE-2012-3125, CVE-2012-3126
• CVE-2012-3127, CVE-2012-3128, CVE-2012-3129, CVE-2012-3130
• CVE-2012-3131, CVE-2012-3134, CVE-2012-3135

PÄIVITYSHISTORIA:

18.7.2012, kello 8.00: Julkaistu

Sivua päivitetty 18.07.2012

Tulostusversio