[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]

[Hilos de Discusión] [Fecha] [Tema] [Autor]

[Linux] Boletín de Seguridad UNAM-CERT 2004-010 "Vulnerabilidades SQL Injection en Oracle E-Business Suite" 

-----BEGIN PGP SIGNED MESSAGE-----

    --------------------------------------------------------------------
                                 UNAM-CERT

                    Departamento de Seguridad en Computo

                                DGSCA- UNAM

  	         Boletín de Seguridad UNAM-CERT 2004-010

	  Vulnerabilidades SQL Injection en Oracle E-Business Suite
     ----------------------------------------------------------------------

    El CERT/UNAM-CERT, a través de sus equipos de respuesta a incidentes
    de Seguridad en Cómputo, han emitido éste boletín donde informan
    sobre una vulnerabilidad en la Suite E-Business de Oracle, que
    permite a un intruso ejecutar un script arbitrario en una base de
    datos vulnerable. La explotación puede comprometer la aplicación de
    base de datos, la integridad de los datos o el sistema operativo que
    se esté utilizando.


    Fecha de Liberación 	8 de Junio de 2004

    Ultima Revisión: 		----

    Fuente:		 	CERT/CC y diversos reportes de Equipos de
				Respuesta a Incidentes, así como Foros y
				Listas de Discusión.


    Sistemas Afectados
    ==================

        * Oracle Applications 11.0 (Todas las versiones)
        * Oracle E-Business Suite 11i, 11.5.1 a 11.5.8


    I. Descripción
    ==============

    Oracle E-Business Suite es un conjunto de aplicaciones y módulos que
    hacen posible que una organización administre la interacción de los
    clientes, servicios de distribución, manufacturar productos,
    entregar órdenes, recolectar pagos y otras tareas usando un modelo
    de base de datos sencilla.

    De acuerdo a la Alerta de Seguridad de Oracle 67, Oracle
    Applications 11.0 (todas las versiones) y Oracle E-Business Suite
    Release 11i, 11.5.1 a 11.5.8 son vulnerables a vulnerabilidades SQL
    Injection. Oracle E-Business Suite Release 11.5.9 y posteriores no
    son vulnerables. Esta vulnerabilidad no es específica de alguna
    plataforma. Integrigy Corporation también ha liberado una alerta
    sobre estas vulnerabilidades.

    Debe notarse que ningún mecanismo de autenticación de Oracle
    E-Business Suite mitigará la explotación de esta vulnerabilidad.


    II. Impacto
    ===========

    Un intruso no autenticado podría explotar esta vulnerabilidad para
    ejecutar declaraciones arbitrarias de SQL en el sistema vulnerable
    con los privilegios del proceso del servidor Oracle. Además de
    comprometer la integridad de la información de la base de datos,
    este puede conducir a comprometer la aplicación de la base de datos
    y el sistema operativo.


    III. Solución
    =============

    * Aplicar Actualizaciones.

    De acuerdo a la Alerta de Seguridad de Oracle 67, las correcciones e
    información están disponibles en:

    http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=274375.1


    NOTA IMPORTANTE: Esta liga requiere suscripcion


     Apendice B. Referencias
     =======================

        * http://otn.oracle.com/deploy/security/pdf/2004alert67.pdf
        * http://www.integrigy.com/alerts/OraAppsSQLInjection.htm
        * http://www.kb.cert.org/vuls/id/961579

    ------------------------------------------------------------------------

    El Departamento de Seguridad en Cómputo/UNAM-CERT agradece el apoyo
    en la elaboración, revisión y traducción de éste boletín a:

        * Jose I. Gervacio Gervacio (jgervacio en seguridad unam mx)
        * Rubén Aquino Luna (raquino en seguridad unam mx)

    ------------------------------------------------------------------------

    INFORMACIÃ?N
    ===========

    Ã?ste documento se encuentra disponible en su formato original en la
    siguiente dirección:

    http://www.us-cert.gov/cas/techalerts/TA04-160A.html

    La versión en español del documento se encuentra disponible en:

    http://www.seguridad.unam.mx

    http://www.unam-cert.unam.mx/Boletines/Boletines2004/boletin-UNAM-CERT-2004-010.html

     Para mayor información acerca de éste boletín de seguridad contactar a:

                                UNAM CERT
                   Equipo de Respuesta a Incidentes UNAM
                    Departamento de Seguridad en Computo
                                DGSCA - UNAM
                      E-Mail : unam-cert en seguridad unam mx
                         http://www.unam-cert.unam.mx
                         http://www.seguridad.unam.mx
                         ftp://ftp.seguridad.unam.mx
         		    Tel : 56 22 81 69
              		    Fax : 56 22 80 43

- --
Juan Carlos Guel Lopez
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
DGSCA, UNAM                     E-mail: unam-cert en seguridad unam mx
Circuito Exterior, C. U.        Tel.: 5622-81-69  Fax: 5622-80-43
Del. Coyoacan                   WWW: http://www.seguridad.unam.mx
04510 Mexico D. F.              WWW: http://www.unam-cert.unam.mx

-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8

iQEVAwUBQMVv5nAvLUtwgRsVAQHVLwf/YSGGIDg7GhgBTCRWtMoJVC3XzpOdTYDe
bi0m3ynH54pPxEJanOaqgeUrF5PCfS9NcHHIPh/92CEAnW1iWcXVd0S6WWunibQ5
jRTnNNe2ahZjEzq++ZPjv19uADjsNKIce8upM8SFy4URyeownM1FCj6r8gsdjHFJ
Pc09BZAEso6qGAI8LlJvwkf2Bceiw603ydEB8NtruF68Vxm8yw5HDrQgNuVeNUSR
TlvrjzeGAsBTuU/MGCIP/hcK6dDtakHbK//aME5YNkBLuaMNPlyMnXaIMO/3mqMr
jYz+0XH9qpK1kxS9S8XT2Zg5h9V+tftub4BucDmh4RXyksYGKtAu1Q==
=R9b0
-----END PGP SIGNATURE-----



Lista de correo linux en opensource org mx
Preguntas linux-owner en opensource org mx
http://www.opensource.org.mx/
[Hilos de Discusión] [Fecha] [Tema] [Autor]