[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE----- -------------------------------------------------------------------- UNAM-CERT Departamento de Seguridad en Computo DGSCA- UNAM BoletÃn de Seguridad UNAM-CERT 2004-010 Vulnerabilidades SQL Injection en Oracle E-Business Suite ---------------------------------------------------------------------- El CERT/UNAM-CERT, a través de sus equipos de respuesta a incidentes de Seguridad en Cómputo, han emitido éste boletÃn donde informan sobre una vulnerabilidad en la Suite E-Business de Oracle, que permite a un intruso ejecutar un script arbitrario en una base de datos vulnerable. La explotación puede comprometer la aplicación de base de datos, la integridad de los datos o el sistema operativo que se esté utilizando. Fecha de Liberación 8 de Junio de 2004 Ultima Revisión: ---- Fuente: CERT/CC y diversos reportes de Equipos de Respuesta a Incidentes, asà como Foros y Listas de Discusión. Sistemas Afectados ================== * Oracle Applications 11.0 (Todas las versiones) * Oracle E-Business Suite 11i, 11.5.1 a 11.5.8 I. Descripción ============== Oracle E-Business Suite es un conjunto de aplicaciones y módulos que hacen posible que una organización administre la interacción de los clientes, servicios de distribución, manufacturar productos, entregar órdenes, recolectar pagos y otras tareas usando un modelo de base de datos sencilla. De acuerdo a la Alerta de Seguridad de Oracle 67, Oracle Applications 11.0 (todas las versiones) y Oracle E-Business Suite Release 11i, 11.5.1 a 11.5.8 son vulnerables a vulnerabilidades SQL Injection. Oracle E-Business Suite Release 11.5.9 y posteriores no son vulnerables. Esta vulnerabilidad no es especÃfica de alguna plataforma. Integrigy Corporation también ha liberado una alerta sobre estas vulnerabilidades. Debe notarse que ningún mecanismo de autenticación de Oracle E-Business Suite mitigará la explotación de esta vulnerabilidad. II. Impacto =========== Un intruso no autenticado podrÃa explotar esta vulnerabilidad para ejecutar declaraciones arbitrarias de SQL en el sistema vulnerable con los privilegios del proceso del servidor Oracle. Además de comprometer la integridad de la información de la base de datos, este puede conducir a comprometer la aplicación de la base de datos y el sistema operativo. III. Solución ============= * Aplicar Actualizaciones. De acuerdo a la Alerta de Seguridad de Oracle 67, las correcciones e información están disponibles en: http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=274375.1 NOTA IMPORTANTE: Esta liga requiere suscripcion Apendice B. Referencias ======================= * http://otn.oracle.com/deploy/security/pdf/2004alert67.pdf * http://www.integrigy.com/alerts/OraAppsSQLInjection.htm * http://www.kb.cert.org/vuls/id/961579 ------------------------------------------------------------------------ El Departamento de Seguridad en Cómputo/UNAM-CERT agradece el apoyo en la elaboración, revisión y traducción de éste boletÃn a: * Jose I. Gervacio Gervacio (jgervacio en seguridad unam mx) * Rubén Aquino Luna (raquino en seguridad unam mx) ------------------------------------------------------------------------ INFORMACIÃ?N =========== Ã?ste documento se encuentra disponible en su formato original en la siguiente dirección: http://www.us-cert.gov/cas/techalerts/TA04-160A.html La versión en español del documento se encuentra disponible en: http://www.seguridad.unam.mx http://www.unam-cert.unam.mx/Boletines/Boletines2004/boletin-UNAM-CERT-2004-010.html Para mayor información acerca de éste boletÃn de seguridad contactar a: UNAM CERT Equipo de Respuesta a Incidentes UNAM Departamento de Seguridad en Computo DGSCA - UNAM E-Mail : unam-cert en seguridad unam mx http://www.unam-cert.unam.mx http://www.seguridad.unam.mx ftp://ftp.seguridad.unam.mx Tel : 56 22 81 69 Fax : 56 22 80 43 - -- Juan Carlos Guel Lopez UNAM-CERT Equipo de Respuesta a Incidentes UNAM DGSCA, UNAM E-mail: unam-cert en seguridad unam mx Circuito Exterior, C. U. Tel.: 5622-81-69 Fax: 5622-80-43 Del. Coyoacan WWW: http://www.seguridad.unam.mx 04510 Mexico D. F. WWW: http://www.unam-cert.unam.mx -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.8 iQEVAwUBQMVv5nAvLUtwgRsVAQHVLwf/YSGGIDg7GhgBTCRWtMoJVC3XzpOdTYDe bi0m3ynH54pPxEJanOaqgeUrF5PCfS9NcHHIPh/92CEAnW1iWcXVd0S6WWunibQ5 jRTnNNe2ahZjEzq++ZPjv19uADjsNKIce8upM8SFy4URyeownM1FCj6r8gsdjHFJ Pc09BZAEso6qGAI8LlJvwkf2Bceiw603ydEB8NtruF68Vxm8yw5HDrQgNuVeNUSR TlvrjzeGAsBTuU/MGCIP/hcK6dDtakHbK//aME5YNkBLuaMNPlyMnXaIMO/3mqMr jYz+0XH9qpK1kxS9S8XT2Zg5h9V+tftub4BucDmh4RXyksYGKtAu1Q== =R9b0 -----END PGP SIGNATURE----- Lista de correo linux en opensource org mx Preguntas linux-owner en opensource org mx http://www.opensource.org.mx/