Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica su boletín de seguridad de octubre. Contiene parches para 253 nuevas vulnerabilidades diferentes en múltiples productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL.
Recursos afectados
- Los fallos se
dan en varios componentes de múltiples productos y como es habitual la
lista de productos afectados es extensa, y puede consultarse en el propio
boletín de seguridad de Oracle desde http://www.oracle.com/technetwork/security-advisory/cpuoct2016-2881722.html
Detalle de la actualización
Relación de productos y número de vulnerabilidades
corregidas en cada uno de ellos:
- Nueve nuevas
vulnerabilidades corregidas en Oracle Database Server (una de ellas
explotable remotamente sin autenticación), 2 vulnerabilidades en Oracle
Secure Backup (ambas explotables remotamente sin autenticación) y una
nueva vulnerabilidad corregida en Oracle Big Data Graph. Afectan a los
componentes: OJVM, Kernel PDB, Application Express, RDBMS Programmable
Interface, RDBMS Security y RDBMS Security and SQL*Plus.
- Otras 29
vulnerabilidades afectan a Oracle Fusion Middleware. 19 de ellas podrían
ser explotadas por un atacante remoto sin autenticar. Los componentes
afectados son: BI Publisher (formerly XML Publisher), NetBeans, Oracle Big
Data Discovery, Oracle Business Intelligence Enterprise Edition, Oracle
Data Integrator, Oracle Discoverer, Oracle GlassFish Server, Oracle
Identity Manager, Oracle iPlanet Web Proxy Server, Oracle iPlanet Web
Server, Oracle Outside In Technology, Oracle Platform Security for Java,
Oracle Web Services y Oracle WebCenter Sites.
- Esta
actualización contiene cinco nuevas actualizaciones de seguridad para Oracle
Enterprise Manager Grid Control, cuatro de ellas explotables remotamente
sin autenticación. Afectan a Enterprise Manager, Oracle Application
Testing Suite y Enterprise Manager Base Platform.
- Dentro de Oracle
Applications, 21 parches son para Oracle E-Business Suite, 19 parches son
para la suite de productos Oracle Supply Chain, 11 para productos Oracle
PeopleSoft, dos para productos Oracle JD Edwards, tres para Oracle Siebel
CRM y siete para Oracle Commerce.
- Se incluyen
también 36 nuevos parches para Oracle Communications Applications, 31 de
ellos tratan vulnerabilidades explotables remotamente sin autenticación.
De forma similar tan solo una nueva corrección para Oracle Health Sciences
Applications (aunque podría ser explotable remotamente sin autenticación).
También incluye un nuevo parche para Oracle Insurance Applications y tres
para Oracle Hospitality Applications.
- Esta
actualización contiene 10 nuevas actualizaciones de seguridad para Oracle
Retail Applications, 10 de ellas explotables remotamente sin
autenticación.
- También se
incluyen dos nuevos parches de seguridad para software Oracle Primavera
Products Suite, una de ellas podría explotarse de forma remota sin
autenticación.
- En lo referente
a Oracle Java SE se incluyen 7 nuevos parches de seguridad, todos
referentes a vulnerabilidades que podrían ser explotadas por un atacante
remoto sin autenticar.
- Para la suite de
productos Oracle Sun Systems se incluyen 16 nuevas actualizaciones, 10 de
ellas afectan directamente a Solaris.
- 31 nuevas
vulnerabilidades afectan a MySQL Server (dos de ellas podrían ser
explotada por un atacante remoto sin autenticar).
- Esta
actualización también contiene 13 parches para Oracle Virtualización.
- Para comprobar
las matrices de productos afectados, gravedad y la disponibilidad de
parches, es necesario comprobar la notificación oficial en:
- Oracle Critical
Patch Update Advisory – October 2016 http://www.oracle.com/technetwork/security-advisory/cpuoct2016-2881722.html
Más información:
- Oracle
Critical Patch Update Advisory - October 2016 http://www.oracle.com/technetwork/security-advisory/cpuoct2016-2881722.html