Alert GCSA-07038 - Patch cumulativa per prodotti Oracle (Aprile
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
******************************************************************
Alert ID : Alert GCSA-07038
Data : 18 Aprile 2007
Titolo : Patch cumulativa per prodotti Oracle (Aprile 2007)
******************************************************************
:: Descrizione del problema:
Oracle ha rilasciato un Critical Patch Update per il mese di Aprile
2007. Tale aggiornamento e' una collezione di patch nata per porre
soluzione a diverse vulnerabilita' scoperte in vari prodotti Oracle.
Il rischio associato a questo aggiornamento e' considerato alto: le
vulnerabilita' potrebbero essere sfruttate da attaccanti remoti o locali
per provocare Denial of Service e attacchi di tipo SQL injection,
per eseguire codice arbitrario, aggirare restrizioni di sicurezza,
ottenere l'accesso a dati sensibili e permettere la lettura
e la scrittura di dati arbitrari.
:: Software interessato:
Oracle Database 10g Release 2 versione 10.2.0.1
Oracle Database 10g Release 2 versione 10.2.0.2
Oracle Database 10g Release 2 versione 10.2.0.3
Oracle Database 10g Release 1 versione 10.1.0.4
Oracle Database 10g Release 1 versione 10.1.0.5
Oracle9i Database Release 2 versione 9.2.0.5
Oracle9i Database Release 2 versione 9.2.0.7
Oracle9i Database Release 2 versione 9.2.0.8
Oracle9i Database Release 1 versione 9.0.1.5
Oracle9i Database Release 1 versione 9.0.1.5 FIPS
Oracle Secure Enterprise Search 10g Release 1 versione 10.1.6
Oracle Application Server 10g Release 3 (10.1.3) versione 10.1.3.0.0
Oracle Application Server 10g Release 3 (10.1.3) versione 10.1.3.1.0
Oracle Application Server 10g Release 3 (10.1.3) versione 10.1.3.2.0
Oracle Application Server 10g Release 2 (10.1.2) versione 10.1.2.0.1
Oracle Application Server 10g Release 2 (10.1.2) versione 10.1.2.0.2
Oracle Application Server 10g Release 2 (10.1.2) versione 10.1.2.1.0
Oracle Application Server 10g Release 2 (10.1.2) versione 10.1.2.2.0
Oracle Application Server 10g (9.0.4) versione 9.0.4.3
Oracle10g Collaboration Suite Release 1 versione 10.1.2
Oracle E-Business Suite Release 11i versioni da 11.5.7 a 11.5.10 CU2
Oracle E-Business Suite Release 12 versione 12.0.0
Oracle Enterprise Manager 9i Release 2 versione 9.2.0.7
Oracle Enterprise Manager 9i Release 2 versione 9.2.0.8
Oracle Enterprise Manager 9i versione 9.0.1.5
Oracle PeopleSoft Enterprise PeopleTools versione 8.22
Oracle PeopleSoft Enterprise PeopleTools versione 8.47
Oracle PeopleSoft Enterprise PeopleTools versione 8.48
Oracle PeopleSoft Enterprise Human Capital Management versione 8.9
JD Edwards EnterpriseOne Tools versione 8.96
JD Edwards OneWorld Tools SP23
:: Impatto:
- denial of service
- esecuzione di comandi arbitrari
- lettura e scrittura di dati arbitrari
- sensitive information disclosure
- attacchi di tipo SQL injection e cross site scripting
- bypass delle restrizioni di sicurezza
L'impatto varia in base alla configurazione del sistema ed a seconda
del prodotto o della componente considerata
:: Soluzioni:
Applicare le patch appropriate o procedere ad opportuno aggiornamento
secondo le istruzioni rilasciate da Oracle:
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2007.html
:: Riferimenti:
FrSIRT Advisories:
http://www.frsirt.com/english/advisories/2007/1426
Oracle Critical Patch Update
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2007.html
SecurityFocus Bugtraq ID:
http://www.securityfocus.com/bid/23532
-----BEGIN PGP SIGNATURE-----
iQCVAwUBRiYgFfOB+SpikaiRAQLSygP+KoWccZIEjN+ZLqD4IFyvJh1GcgqlaBoM
IfTDXXfxA2f2Ju3tY3WLZh8l78fKwiwIy3yXGHpy/S0iyEFSyEz/kGLl+6MCR0LQ
DKEXOlM6oNo4kj0nChZZrdB2Fgdj80dvWdcDaGOlZeKYaCD/vEi8Pfi+r5uEvm5L
84fXGNcAfvE=
=sJnA
-----END PGP SIGNATURE-----
Hash: SHA1
******************************************************************
Alert ID : Alert GCSA-07038
Data : 18 Aprile 2007
Titolo : Patch cumulativa per prodotti Oracle (Aprile 2007)
******************************************************************
:: Descrizione del problema:
Oracle ha rilasciato un Critical Patch Update per il mese di Aprile
2007. Tale aggiornamento e' una collezione di patch nata per porre
soluzione a diverse vulnerabilita' scoperte in vari prodotti Oracle.
Il rischio associato a questo aggiornamento e' considerato alto: le
vulnerabilita' potrebbero essere sfruttate da attaccanti remoti o locali
per provocare Denial of Service e attacchi di tipo SQL injection,
per eseguire codice arbitrario, aggirare restrizioni di sicurezza,
ottenere l'accesso a dati sensibili e permettere la lettura
e la scrittura di dati arbitrari.
:: Software interessato:
Oracle Database 10g Release 2 versione 10.2.0.1
Oracle Database 10g Release 2 versione 10.2.0.2
Oracle Database 10g Release 2 versione 10.2.0.3
Oracle Database 10g Release 1 versione 10.1.0.4
Oracle Database 10g Release 1 versione 10.1.0.5
Oracle9i Database Release 2 versione 9.2.0.5
Oracle9i Database Release 2 versione 9.2.0.7
Oracle9i Database Release 2 versione 9.2.0.8
Oracle9i Database Release 1 versione 9.0.1.5
Oracle9i Database Release 1 versione 9.0.1.5 FIPS
Oracle Secure Enterprise Search 10g Release 1 versione 10.1.6
Oracle Application Server 10g Release 3 (10.1.3) versione 10.1.3.0.0
Oracle Application Server 10g Release 3 (10.1.3) versione 10.1.3.1.0
Oracle Application Server 10g Release 3 (10.1.3) versione 10.1.3.2.0
Oracle Application Server 10g Release 2 (10.1.2) versione 10.1.2.0.1
Oracle Application Server 10g Release 2 (10.1.2) versione 10.1.2.0.2
Oracle Application Server 10g Release 2 (10.1.2) versione 10.1.2.1.0
Oracle Application Server 10g Release 2 (10.1.2) versione 10.1.2.2.0
Oracle Application Server 10g (9.0.4) versione 9.0.4.3
Oracle10g Collaboration Suite Release 1 versione 10.1.2
Oracle E-Business Suite Release 11i versioni da 11.5.7 a 11.5.10 CU2
Oracle E-Business Suite Release 12 versione 12.0.0
Oracle Enterprise Manager 9i Release 2 versione 9.2.0.7
Oracle Enterprise Manager 9i Release 2 versione 9.2.0.8
Oracle Enterprise Manager 9i versione 9.0.1.5
Oracle PeopleSoft Enterprise PeopleTools versione 8.22
Oracle PeopleSoft Enterprise PeopleTools versione 8.47
Oracle PeopleSoft Enterprise PeopleTools versione 8.48
Oracle PeopleSoft Enterprise Human Capital Management versione 8.9
JD Edwards EnterpriseOne Tools versione 8.96
JD Edwards OneWorld Tools SP23
:: Impatto:
- denial of service
- esecuzione di comandi arbitrari
- lettura e scrittura di dati arbitrari
- sensitive information disclosure
- attacchi di tipo SQL injection e cross site scripting
- bypass delle restrizioni di sicurezza
L'impatto varia in base alla configurazione del sistema ed a seconda
del prodotto o della componente considerata
:: Soluzioni:
Applicare le patch appropriate o procedere ad opportuno aggiornamento
secondo le istruzioni rilasciate da Oracle:
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2007.html
:: Riferimenti:
FrSIRT Advisories:
http://www.frsirt.com/english/advisories/2007/1426
Oracle Critical Patch Update
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2007.html
SecurityFocus Bugtraq ID:
http://www.securityfocus.com/bid/23532
-----BEGIN PGP SIGNATURE-----
iQCVAwUBRiYgFfOB+SpikaiRAQLSygP+KoWccZIEjN+ZLqD4IFyvJh1GcgqlaBoM
IfTDXXfxA2f2Ju3tY3WLZh8l78fKwiwIy3yXGHpy/S0iyEFSyEz/kGLl+6MCR0LQ
DKEXOlM6oNo4kj0nChZZrdB2Fgdj80dvWdcDaGOlZeKYaCD/vEi8Pfi+r5uEvm5L
84fXGNcAfvE=
=sJnA
-----END PGP SIGNATURE-----