[Warning] Oracle Critical Patch Update für Jänner 2012

Otmar Lendl lendl at cert.at
Wed Jan 18 16:39:39 CET 2012 

18. Jänner 2011

   Es wurden Updates für kritische Sicherheitslücken in diversen Produkten
   von Oracle, darunter unter anderen Oracle Database, Oracle MySQL
   Server, Solaris, Oracle Fusion Middleware und Oracle Application Server
   veröffentlicht.

   Angesichts der hohen Verbreitung der Software von Oracle bittet CERT.at
   um Beachtung der folgenden Hinweise:

Beschreibung

   Im Rahmen eines "Critical Patch Update" warnt Oracle vor diversen, zum
   Teil schweren (CVSS Score [1] bis zu 7.8) Sicherheitslücken in Software
   von Oracle.

   Eine Sicherheitslücke im Produkt Oracle Database betrifft die
   Teilkomponente "listener program", welche remote Befehle akzeptiert.
   Das Ausnutzen der Sicherheitslücken kann im schlimmsten Fall dazu
   führen, dass ein Zugriff auf die Datenbank nicht mehr möglich ist.

   Oracle stellt Patches für Solaris zur Verfügung, welche kritische
   Sicherheitslücken im Betriebssystem beseitigen. CVE-2012-0094 betrifft
   Solaris 9, 10, 11 Express und kann zu einem Absturz des Betriebssystems
   führen.

   Andere Patches adressieren Sicherheitslücken in der MySQL Server
   Software, wobei das Ausnutzen zumindest einer Sicherheitslücke zu einer
   signifikanten Einschränkung der Verfügbarkeit führen bzw. die
   Vertraulichkeit der Daten in der Datenbank beeinträchtigen kann.

   Weiters warnt Oracle vor diversen HTTP-basierten Sicherheitslücken in
   den Produkten Oracle Fusion Middleware, Oracle E-Business Suite, and
   Oracle Supply Chain Products Suite. Eine Sicherheitslücke in Oracle
   Fusion kann unter Umständen dazu führen, dass Daten vom System gelesen
   oder auf das System geschrieben werden können.

   Eine Auflistung aller Sicherheitslücken und die dazugehörende
   detaillierte Beschreibung (inklusive CVE und Einstufungen nach
   CVSS) veröffentlichte Oracle als "Oracle Critical Patch Update
   Advisory - January 2012" [2].

Auswirkungen

   Unter Umständen kann das Ausnutzen der Sicherheitslücken zu einem Teil-
   bzw. Gesamtverlust der Vertraulichkeit, Integrität oder Verfügbarkeit
   der Softwareprodukte führen.

Betroffene Systeme

   Laut Oracle sind folgende Versionen betroffen:
     * Oracle Database 11g Release 2, versions 11.2.0.2, 11.2.0.3
     * Oracle Database 11g Release 1, version 11.1.0.7
     * Oracle Database 10g Release 2, versions 10.2.0.3, 10.2.0.4,
       10.2.0.5
     * Oracle Database 10g Release 1, version 10.1.0.5
     * Oracle Fusion Middleware 11g Release 1, versions 11.1.1.3.0,
       11.1.1.4.0, 11.1.1.5.0
     * Oracle Application Server 10g Release 3, version 10.1.3.5.0
     * Oracle Outside In Technology, versions 8.3.5, 8.3.7
     * Oracle WebLogic Server, versions 9.2.4, 10.0.2, 11gR1 (10.3.3,
       10.3.4, 10.3.5)
     * Oracle E-Business Suite Release 12, versions 12.1.2, 12.1.3
     * Oracle E-Business Suite Release 11i, version 11.5.10.2
     * Oracle Transportation Management, versions 5.5, 6.0, 6.1, 6.2
     * Oracle PeopleSoft Enterprise CRM, version 8.9
     * Oracle PeopleSoft Enterprise HCM, versions 8.9, 9.0, 9.1
     * Oracle PeopleSoft Enterprise PeopleTools, version 8.52
     * Oracle JDEdwards, version 8.98
     * Oracle Sun Product Suite
     * Oracle VM VirtualBox, version 4.1
     * Oracle Virtual Desktop Infrastructure, version 3.2
     * Oracle MySQL Server, versions 5.0, 5.1, 5.5

Abhilfe

   Installation der bereitgestellten Updates. Siehe dazu die Links im
   Advisory von Oracle [2].

Hinweise

   Oracle hat sich mit dem Critical Patch Updates Programm [3] vorgenommen,
   jedes Quartal gebündelt Patches für (fast) alle Produkte herauszugeben.
   Wir empfehlen daher dringend jedem Kunden von Oracle, sich -- analog
   zum monatlichen Patch-Day von Microsoft -- auf diese Updates
   vorzubereiten und einen Prozess zur geordneten Behandlung [4] zu
   implementieren.

   Wir weisen weiters darauf hin, dass die Java Runtime für Clients
   unabhängig von diesen "CPUs" Updates von Oracle bekommt. Ein veraltetes
   Java-Plugin in Browsern ist aktuell ein häufiges Einfallstor für
   Schadsoftware. Ob ein Browser die aktuelle Version verwendet, lässt
   sich leicht über java.com [5] überprüfen. Alte Versionen der JRE
   sollten deinstalliert werden [6].

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, und auch auf Servern sich
   automatisch die verfügbaren Updates anzeigen zu lassen.
     __________________________________________________________________

Informationsquelle(n):

   Oracle Critical Patch Update Advisory - January 2012 (Englisch)
   http://www.oracle.com/technetwork/topics/security/cpujan2012-366304.
   html

   Orcale Blog zum Patch Update (Englisch)
   http://blogs.oracle.com/security/entry/january_2012_critical_patch_
   update

Links:

   1. http://nvd.nist.gov/cvss.cfm?calculator&adv&version=2
   2. http://www.oracle.com/technetwork/topics/security/cpujan2012-366304.html
   3. http://www.oracle.com/technetwork/topics/security/cpufaq-098434.html
   4.
http://www.oracle.com/technetwork/topics/security/cpu-whitepaper-129885.pdf
   5. https://www.java.com/de/download/installed.jsp
   6. https://www.java.com/de/download/faq/remove_olderversions.xml

---

Otmar Lendl / Stefan Lenzhofer
-- 
// Otmar Lendl <lendl at cert.at>, +43 1 5056416 - 711
//       CERT.at    --      http://www.cert.at/

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 196 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20120118/d8779bc0/attachment.sig>

More information about the Warning mailing list