[Warning] Kritische Lücken und Sicherheitsupdates für Oracle
L. Aaron Kaplan
kaplan at cert.at
Wed Jan 13 16:28:22 CET 2010
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Wegen der Dringlichkeit, dem weit verbreiteten Einsatz von Oracle in
Unternehmen und der grossen Zahl an potentiell ausnützbaren
Sicherheitslücken bittet CERT.at um Beachtung der folgenden Meldung:
Beschreibung
Diverse Oracle Produkte sind derzeit, laut Angaben des Herstellers, für
verschiedene Angriffe anfällig. In dem [1]Critical Patch Update für
Jänner 2010 listet Oracle 24 dieser Sicherheitslücken auf und empfiehlt
ein Update. Hierbei verteilen sich die Sicherheitslücken auf :
* 10 Oracle Database
* 3 Oracle Application Server
* 3 Oracle Applications Suite
* 1 PeopleSoft und JD Edwards Suite
* 5 BEA Products Suite
* 2 Oracle Primavera Products Suite
Auswirkungen
Da der Angreifer unter anderem via Oracle Net und der Listener
Komponente prinzipiell direkt beliebigen Code auf betroffenen Systemen
ausführen kann, sind alle Daten auf diesen Systemen, die Inhalte der
Datenbank sowie potentiell alle durch diese erreichbaren (etwa durch
ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen
Systeme gefährdet.
Viele der Sicherheitslücken erlauben aber auch - als authentifizierter
Benutzer - über das Netzwerk, beliebigen Schadcode auszuführen. Es ist
also denkbar, dass ein Angriff genauso über einen authentifizierten
(Webfrontend-) Benutzer erfolgen kann.
Betroffene Systeme
* Oracle Database 11g, Version 11.1.0.7
* Oracle Database 10g Release 2, Versionen 10.2.0.3, 10.2.0.4
* Oracle Database 10g, Version 10.1.0.5
* Oracle Database 9i Release 2, Versionen 9.2.0.8, 9.2.0.8DV
* Oracle Application Server 10g Release 3 (10.1.3), Versionen
10.1.3.4.0, 10.1.3.5, 10.1.3.5.1
* Oracle Application Server 10g Release 2 (10.1.2), Version
10.1.2.3.0
* Oracle Access Manager Versionen 7.0.4.3, 10.1.4.2
* Oracle E-Business Suite Release 12, Versionen 12.0.4, 12.0.5,
12.0.6, 12.1.1 und 12.1.2
* Oracle E-Business Suite Release 11i, Version 11.5.10.2
* PeopleSoft Enterprise HCM (TAM), Versionen 8.9 und 9.0
* Oracle WebLogic Server 10.0 bis MP2, 10.3.0 und 10.3.1
* Oracle WebLogic Server 9.0 GA, 9.1 GA und 9.2 bis 9.2 MP3
* Oracle WebLogic Server 8.1 bis 8.1 SP6
* Oracle WebLogic Server 7.0 bis 7.0 SP7
* Oracle JRockit R27.6.5 und frühere (JDK/JRE 6, 5, 1.4.2)
* Primavera P6 Enterprise Project Portfolio Management 6.1, 6.2.1 und
7.0
* Primavera P6 Web Services 6.2.1, 7.0 und 7.0SP1
Abhilfe
Oracle stellt [2]eine genaue Beschreibung und Updates zur Verfügung.
Evtentuell müssen ältere kritische Updates vorher eingespielt werden.
Details sind der Oracle Seite zu entnehmen.
CERT.at empfiehlt Administratoren, obige Beschreibung genau anzusehen
und entsprechende Updates nach Massgabe der Möglichkeiten und sobald
als möglich einzuspielen. Auf jeden Fall sollten Administratoren ihre
Firewall Regeln genau überprüfen, sodass Oracle Net und Oracle nur von
autorisierten und sicheren Rechnern über das Netzwerk erreichbar sind.
Hinweis
Generell empfiehlt CERT.at, womöglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquelle(n):
US-CERT Warnung
[3]http://www.us-cert.gov/current/index.html#oracle_releases_critical_p
atch_update9
Oracle
[4]http://www.oracle.com/technology/deploy/security/critical-patch-upda
tes/cpujan2010.html
References
1. http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2010.html
2. http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2010.html
3. http://www.us-cert.gov/current/index.html#oracle_releases_critical_patch_update9
4. http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2010.html
- --
L. Aaron Kaplan
kaplan at cert.at
Tel: +43 1 505 64 16 / 78
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.5 (Darwin)
iD8DBQFLTeX7LXqZes2uTbYRAuu/AKCbTHrwVnZmpNMgf8awnc11riwJbQCgk//X
n0uBrPG1GnIU/MHzoJXNZ0Q=
=/iiZ
-----END PGP SIGNATURE-----
More information about the Warning
mailing list