[Warning] Kritische Lücken und Sicherheitsupdates für Oracle

L. Aaron Kaplan kaplan at cert.at
Wed Jan 13 16:28:22 CET 2010 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1



   Wegen der Dringlichkeit, dem weit verbreiteten Einsatz von Oracle in
   Unternehmen und der grossen Zahl an potentiell ausnützbaren
   Sicherheitslücken bittet CERT.at um Beachtung der folgenden Meldung:

Beschreibung

   Diverse Oracle Produkte sind derzeit, laut Angaben des Herstellers, für
   verschiedene Angriffe anfällig. In dem [1]Critical Patch Update für
   Jänner 2010 listet Oracle 24 dieser Sicherheitslücken auf und empfiehlt
   ein Update. Hierbei verteilen sich die Sicherheitslücken auf :
     * 10 Oracle Database
     * 3 Oracle Application Server
     * 3 Oracle Applications Suite
     * 1 PeopleSoft und JD Edwards Suite
     * 5 BEA Products Suite
     * 2 Oracle Primavera Products Suite

Auswirkungen

   Da der Angreifer unter anderem via Oracle Net und der Listener
   Komponente prinzipiell direkt beliebigen Code auf betroffenen Systemen
   ausführen kann, sind alle Daten auf diesen Systemen, die Inhalte der
   Datenbank sowie potentiell alle durch diese erreichbaren (etwa durch
   ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen
   Systeme gefährdet.

   Viele der Sicherheitslücken erlauben aber auch - als authentifizierter
   Benutzer - über das Netzwerk, beliebigen Schadcode auszuführen. Es ist
   also denkbar, dass ein Angriff genauso über einen authentifizierten
   (Webfrontend-) Benutzer erfolgen kann.

Betroffene Systeme

     * Oracle Database 11g, Version 11.1.0.7
     * Oracle Database 10g Release 2, Versionen 10.2.0.3, 10.2.0.4
     * Oracle Database 10g, Version 10.1.0.5
     * Oracle Database 9i Release 2, Versionen 9.2.0.8, 9.2.0.8DV
     * Oracle Application Server 10g Release 3 (10.1.3), Versionen
       10.1.3.4.0, 10.1.3.5, 10.1.3.5.1
     * Oracle Application Server 10g Release 2 (10.1.2), Version
       10.1.2.3.0
     * Oracle Access Manager Versionen 7.0.4.3, 10.1.4.2
     * Oracle E-Business Suite Release 12, Versionen 12.0.4, 12.0.5,
       12.0.6, 12.1.1 und 12.1.2
     * Oracle E-Business Suite Release 11i, Version 11.5.10.2
     * PeopleSoft Enterprise HCM (TAM), Versionen 8.9 und 9.0
     * Oracle WebLogic Server 10.0 bis MP2, 10.3.0 und 10.3.1
     * Oracle WebLogic Server 9.0 GA, 9.1 GA und 9.2 bis 9.2 MP3
     * Oracle WebLogic Server 8.1 bis 8.1 SP6
     * Oracle WebLogic Server 7.0 bis 7.0 SP7
     * Oracle JRockit R27.6.5 und frühere (JDK/JRE 6, 5, 1.4.2)
     * Primavera P6 Enterprise Project Portfolio Management 6.1, 6.2.1 und
       7.0
     * Primavera P6 Web Services 6.2.1, 7.0 und 7.0SP1

Abhilfe

   Oracle stellt [2]eine genaue Beschreibung und Updates zur Verfügung.
   Evtentuell müssen ältere kritische Updates vorher eingespielt werden.
   Details sind der Oracle Seite zu entnehmen.

   CERT.at empfiehlt Administratoren, obige Beschreibung genau anzusehen
   und entsprechende Updates nach Massgabe der Möglichkeiten und sobald
   als möglich einzuspielen. Auf jeden Fall sollten Administratoren ihre
   Firewall Regeln genau überprüfen, sodass Oracle Net und Oracle nur von
   autorisierten und sicheren Rechnern über das Netzwerk erreichbar sind.

Hinweis

   Generell empfiehlt CERT.at, womöglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
     __________________________________________________________________

   Informationsquelle(n):
   US-CERT Warnung
   [3]http://www.us-cert.gov/current/index.html#oracle_releases_critical_p
   atch_update9
   Oracle
   [4]http://www.oracle.com/technology/deploy/security/critical-patch-upda
   tes/cpujan2010.html

References

   1. http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2010.html
   2. http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2010.html
   3. http://www.us-cert.gov/current/index.html#oracle_releases_critical_patch_update9
   4. http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2010.html



- --
L. Aaron Kaplan
kaplan at cert.at
Tel: +43 1 505 64 16 / 78

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.5 (Darwin)

iD8DBQFLTeX7LXqZes2uTbYRAuu/AKCbTHrwVnZmpNMgf8awnc11riwJbQCgk//X
n0uBrPG1GnIU/MHzoJXNZ0Q=
=/iiZ
-----END PGP SIGNATURE-----

More information about the Warning mailing list