Oracle on julkaissut lokakuun ohjelmistopäivityksensä (Critical Patch Update). Päivitykset sisältävät myös 25 korjausta Java SE -ohjelmistoon. Haavoittuvuuksista vakavimmat voivat mahdollistaa hyökkääjän ohjelmakoodin suorittamisen kohdejärjestelmässä.

Lokakuun päivityspaketti sisältää yhteensä 155 korjauspäivitystä lukuisiin Oraclen tuotteisiin. Useita kymmeniä korjattuja havoittuvuuksia voidaan hyväksikäyttää verkon kautta ilman kirjautumista. Haavoittuvat ympäristöt on syytä päivittää heti kun mahdollista.

Tarkemmat tiedot korjauspäivtyksistä on saatavilla Oraclen tiedotteesta.

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset
• Verkon aktiivilaitteet
• Matkaviestinjärjestelmät
• Sulautetut järjestelmät
• Muut

Kohde

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset

Hyökkäystapa

• Ilman kirjautumista
• Etäkäyttö

Hyväksikäyttö

• Komentojen mielivaltainen suorittaminen

Ratkaisu

• Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot:

• Oracle Database 11g Release 1, versio 11.1.0.7
• Oracle Database 11g Release 2, versiot 11.2.0.3, 11.2.0.4
• Oracle Database 12c Release 1, versiot 12.1.0.1, 12.1.0.2
• Oracle Application Express, versiota 4.2.6 aikaisemmat versiot
• Oracle Fusion Middleware 11g Release 1, versiot 11.1.1.5, 11.1.1.7
• Oracle Fusion Middleware 11g Release 2, versiot 11.1.2.1, 11.1.2.2, 11.1.2.4
• Oracle Fusion Middleware 12c, versiot 12.1.1.0, 12.1.2.0, 12.1.3.0
• Oracle Access Manager, versiot 11.1.1.5, 11.1.1.7, 11.1.2.1, 11.1.2.2
• Oracle Endeca Information Discovery Studio, versiot 2.2.2, 2.3, 2.4, 3.0, 3.1
• Oracle Enterprise Data Quality, versiot 8.1.2, 9.0.11
• Oracle Identity Manager, versiot 11.1.1.5, 11.1.1.7, 11.1.2.1, 11.1.2.2
• Oracle JDeveloper, versiot 10.1.3.5, 11.1.1.7, 11.1.2.4, 12.1.2.0, 12.1.3.0
• Oracle OpenSSO, versio 3.0-04
• Oracle WebLogic Server, versiot 10.0.2, 10.3.6, 12.1.1, 12.1.2, 12.1.3
• Application Performance Management, versiot 12.1.0.4.4, 12.1.0.5.4, 12.1.0.6.1
• Enterprise Manager for Oracle Database Release 10g, 11g, 12c
• Enterprise Manager Ops Center, versiot 11.1, 12.1, 12.2
• Oracle E-Business Suite Release 11i, versio 11.5.10.2
• Oracle E-Business Suite Release 12, versiot 12.0.4, 12.0.6, 12.1.1, 12.1.2, 12.1.3, 12.2.2, 12.2.3, 12.2.4
• Oracle Agile PLM, versiot 9.3.1.2, 9.3.3
• Oracle Transportation Management, versiot 6.1, 6.2, 6.3.0 through 6.3.5
• Oracle PeopleSoft Enterprise HRMS, versio 9.2
• Oracle PeopleSoft Enterprise PeopleTools, versiot 8.52, 8.53, 8.54
• Oracle JD Edwards EnterpriseOne Tools, versio 8.98
• Oracle Communications MetaSolv Solution, versiot MetaSolv Solution: 6.2.1.0.0, LSR: 9.4.0, 10.1.0, ASR: 49.0.0
• Oracle Communications Session Border Controller, versio SCX640m5
• Oracle Retail Allocation, versiot 10.0, 11.0, 12.0, 13.0, 13.1, 13.2
• Oracle Retail Clearance Optimization Engine, versiot 13.3, 13.4, 14.0
• Oracle Retail Invoice Matching, versiot 11.0, 12.0, 12.0 IN, 12.1, 13.0, 13.1, 13.2, 14.0
• Oracle Retail Markdown Optimization, versiot 12.0, 13.0, 13.1, 13.2, 13.4
• Oracle Health Sciences Empirica Inspections, versiot 1.0.x, 3.1.x, 7.3.x
• Oracle Health Sciences Empirica Signal, versiot 1.0.x, 3.1.x, 7.3.x
• Oracle Health Sciences Empirica Study, versiot 1.0.x, 3.1.x, 7.3.x
• Oracle Primavera Contract Management, versiot 13.1, 14.0
• Oracle Primavera P6 Enterprise Project Portfolio Management, versiot 7.0, 8.1, 8.2, 8.3
• Oracle JavaFX, versio 2.2.65
• Oracle Java SE, versiot 5.0u71, 6u81, 7u67, 8u20
• Oracle Java SE Embedded, versio 7u60
• Oracle JRockit, versiot R27.8.3, R28.3.3
• Oracle Fujitsu, palvelinversiot M10-1, M10-4, M10-4S
• Oracle Solaris, versiot 10, 11
• Oracle Secure Global Desktop, versiot 4.63, 4.71, 5.0, 5.1
• Oracle VM VirtualBox, versioita 4.1.34, 4.2.26, 4.3.14 aikaisemmat versiot
• Oracle MySQL Server, versiot 5.5.39 ja aikaisemmat, 5.6.20 ja aikaisemmat

Ratkaisu- ja rajoitusmahdollisuudet:

Päivitä haavoittuvat ohjelmistot korjattuihin versioihin valmistajan ohjeiden mukaisesti.

Java:n käyttäjät voivat varmistaa käytössä olevan versionsa osoitteessa http://java.com/en/download/installed.jsp

Lisätietoa:

• http://www.oracle.com/technetwork/topics/security/cpuoct2014-1972960.html