lunes, 21 de abril de 2008

Actualización de Parches de Seguridad (CPU Abril)

El día 15 Oracle publico CPU son las iniciales de "Critical Patch Update".

En lugar de publicar parches a medida que salen, Oracle tiene 4 fechas de lanzamiento: Enero, Abril, Julio y Octubre.

Esto debería ayudarnos a planificar las actualizaciones, 4 paradas planificadas a lo largo del año y avisadas bastarán para no volver locos a nuestros usuarios/servicios.

Del total de vulnerabilidades incluidas en el CPU, destaco 15, las que afectan directamente a la BD. De éstas, solo 3 afectan en realidad a SGBD, el resto lo hacen a componentes opcionales o utilidades.

De las 3, solo una se puede explotar sin estar en posesión de una cuenta de usuario, y afecta a Oracle 11g. Por lo que nos encontramos ante dos problemas de seguridad, en los que será necesario disponer de una usuario y clave de acceso para explotar.

Otros componentes afectados son:
  • Advanced Queuing (5,5 y 2,1)
  • Oracle Spatial (3 con un valor de 5,5)
  • Data Pump (4,0)
  • Export (4,0)
  • Query Optimizer (4,0)
  • Audit (3,5)

Entre paréntesis tenéis el valor de la puntuación CVSS "Common Vulnerability Scoring System" que utiliza Oracle para valorar la criticidad de una vulnerabilidad.

Paquetes afectados por estas vulnerabilidades, y que no iría mal comprobar si permitimos su ejecución:
  • SYS.DBMS_AQ (Advanced Queuing)
  • SYS.DBMS_AQJMS_INTERNAL (Advanced Queuing)
  • DBMS_CDC_UTILITY (Change Data Capture)
  • WKSYS.WK_QRY (Ultrasearch)
  • WKSYS.WK_QUERYAPI (Ultrasearch)
  • SDO_UTIL (Oracle Spatial)
  • SDO_GEOM (Oracle Spatial)
  • SDO_IDX (Oracle Spatial)
  • KUPF$FILE_INT (Data Pump)
  • DBMS_STATS (Query Optimizer)

Además de éstas, hay una vulnerabilidad de "Oracle Secure Enterprise Search" (producto que no se instala directamente con la BD) y dos para APEX (también conocido por HTML DB). De éstas últimas podemos destaco una que puede ser explotada remotamente y sin disponer de una cuenta de usuario.


CONCLUSIÓN
- Vulnerabilidades peligrosas en Oracle 11g y APEX
- Dos vulnerabilidades de la BD
- Varias en componentes opcionales y de ámbito reducido

Después de esto y si sois como yo, sin tiempo de probar Oracle 11g y APEX probado muy por encima:

Estar tranquilos =)

No hay comentarios: