En este boletín han sido solucionados 66 errores agrupados en los siguientes productos:
- Oracle Database 11g Release 2, versión 11.2.0.1
- Oracle Database 11g Release 1, versión 11.1.0.7
- Oracle Database 10g Release 2, versiones 10.2.0.3, 10.2.0.4, 10.2.0.5
- Oracle Database 10g Release 1, versión 10.1.0.5
- Oracle Audit Vault 10g Release 2, versión 10.2.3.2
- Oracle Secure Backup 10g Release 3, versión 10.3.0.2
- Oracle , 11g Release 1, versiones 11.1.1.2.0, 11.1.1.3.0
- Oracle Application Server 10g Release 2, versión 10.1.2.3.0
- Oracle Beehive, versiones 2.0.1.0, 2.0.1.1, 2.0.1.2, 2.0.1.2.1, 2.0.1.3
- Oracle BI Publisher, versiones 10.1.3.3.2, 10.1.3.4.0, 10.1.3.4.1, 11.1.1.3
- Oracle Document Capture, versiones 10.1.3.4, 10.1.3.5
- Oracle GoldenGate Veridata, versión 3.0.0.4
- Oracle JRockit versiones, R27.6.7 y anteriores (JDK/JRE 1.4.2, 5, 6), R28.0.1 y anteriores (JDK/JRE 5, 6)
- Oracle Outside In Technology, versión 8.3.0
- Oracle WebLogic Server, versiones 7.0.7, 8.1.6, 9.0, 9.1, 9.2.3, 10.0.2, 10.3.2, 10.3.3
- Oracle Enterprise Manager Suite Release 10, versión 10.2.0.5
- Oracle Enterprise Manager Real User Experience Insight, versión RUEI 6.0
- Oracle E-Business Suite Release 12, versiones 12.0.4, 12.0.5, 12.0.6, 12.1.1, 12.1.2, 12.1.3
- Oracle E-Business Suite Release 11i, versión 11.5.10.2
- Oracle Agile Core, versiones 9.3.0.2, 9.3.1
- Oracle Transportation Manager, versiones 5.5, 6.0, 6.1, 6.2
- Oracle PeopleSoft Enterprise CRM, versiones 8.9, 9.0, 9.1
- Oracle PeopleSoft Enterprise HRMS, versiones 8.9, 9.0, 9.1
- Oracle PeopleSoft Enterprise PeopleTools, versiones 8.49, 8.50, 8.51
- Oracle Argus Safety, versiones 5.0, 5.0.1, 5.0.2, 5.0.3
- Oracle InForm Portal, versiones 4.5, 4.6, 5.0
- Oracle Sun Product Suite
- Oracle Open Office, versión 3.2.1 y StarOffice/StarSuite, versiones 7, 8
De los 66 errores existen, los más graves son (calificados como críticas, esto es, permiten ejecución de código sin intervención del usuario y no resultan complejos de aprovechar):
- CVE-2010-4449: En el protocolo HTTP del componente Audit Vault.
- CVE-2010-3574: En múltiples protocolos del componente Oracle JRockit.
- CVE-2010-3510: En Node Manager de Oracle WebLogic Server.
- CVE-2010-4435: En el protocolo RPC de Solaris 8, 9 y 10
Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial.
Fuente: muyseguridad