Oracle on julkaissut huhtikuun 2015 ohjelmistopäivityksensä (Critical Patch Update). Päivitykset sisältävät muun muassa 14 korjausta Java SE -ohjelmistoon, 26 korjausta Oracle MySQL:ään, 17 korjausta Oracle Fusion Middlewareen ja neljä korjausta Oracle Databaseen.

Huhtikuun päivityspaketti sisältää yhteensä 98 korjauspäivitystä lukuisiin Oraclen tuotteisiin. Useita kymmeniä korjattuja havoittuvuuksia voidaan hyväksikäyttää verkon kautta ilman kirjautumista. Haavoittuvat ympäristöt on syytä päivittää heti kun mahdollista.

Tarkemmat tiedot korjauspäivityksistä on saatavilla Oraclen tiedotteesta.

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset
• Verkon aktiivilaitteet
• Matkaviestinjärjestelmät
• Sulautetut järjestelmät
• Muut

Kohde

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset

Hyökkäystapa

• Paikallisesti
• Ilman kirjautumista
• Etäkäyttö

Hyväksikäyttö

• Komentojen mielivaltainen suorittaminen

Ratkaisu

• Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot:

• Oracle Database Server, versiot 11.1.0.7, 11.2.0.3, 11.2.0.4, 12.1.0.1, 12.1.0.2
• Oracle Fusion Applications, versiot 11.1.2 - 11.1.9
• Oracle Access Manager, versiot 11.1.1.5, 11.1.1.7
• Oracle Exalogic Infrastructure, versiot 1.x, 2.x
• Oracle GlassFish Server, versiot 2.1.1, 3.0.1, 3.1.2
• Oracle GoldenGate Monitor, versiot 11.1.2.1.0
• Oracle iPlanet Web Proxy Server, versiot 4.0
• Oracle iPlanet Web Server, versiot 6.1, 7.0
• Oracle OpenSSO, versio 3.0-04
• Oracle Outside In Technology, versiot 8.4.1, 8.5.0, 8.5.1
• Oracle WebCenter Portal, versiot 11.1.1.8.0
• Oracle WebCenter Sites, versiot 7.6.2, 11.1.1.6.1, 11.1.1.8.0
• Oracle WebLogic Server, versiot 10.3.6.0, 12.1.1.0, 12.1.2.0, 12.1.3.0
• Oracle Hyperion BI+, versiot 11.1.2.2, 11.1.2.3
• Oracle Hyperion Smart View for Office, versiot 11.1.2.x
• Enterprise Manager Base Platform, versiot MOS 12.1.0.5, MOS 12.1.0.6
• Application Management Pack for Oracle E-Business Suite, versiot AMP 121020, AMP 121030
• Oracle E-Business Suite, versiot 11.5.10.2, 12.0.4, 12.0.6, 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4
• Oracle Agile Engineering Data Management, versiot 6.1.3.0
• Oracle Demand Planning, versiot 11.5.10, 12.0, 12.1, 12.2
• Oracle Transportation Management, versiot 6.1, 6.2, 6.3.0, 6.3.1, 6.3.2, 6.3.3, 6.3.4, 6.3.5, 6.3.6
• PeopleSoft Enterprise PeopleTools, versiot 8.53, 8.54
• PeopleSoft Enterprise Portal Interaction Hub, versiot 9.1.0
• PeopleSoft Enterprise SCM Strategic Sourcing, versiot 9.1, 9.2
• JD Edwards EnterpriseOne Technology, versio 9.1
• Siebel Applications, versiot 8.1, 8.2
• Oracle Commerce Guided Search/Oracle Commerce Experience Manager, versiot 3.x, 11.x
• Oracle Commerce Platform, versiot 9.4, 10.0, 10.2
• Oracle Retail Back Office, versiot 12.0, 12.0IN, 13.0, 13.1, 13.2, 13.3, 13.4, 14.0, 14.1
• Oracle Retail Central Office, versiot 13.1, 13.2, 13.3, 13.4, 14.0, 14.1
• Oracle Argus Safety, versio 8.0
• Oracle Knowledge, versiot 8.2.3.10.1, 8.4.7.2
• Oracle Java FX, versio 2.2.76
• Oracle Java SE, versiot 5.0u81, 6u91, 7u76, 8u40
• Oracle JRockit, versio R28.3.5
• Cisco MDS Fiber Channel Switch, versiot 5.2, 6.2
• Oracle VM Server for SPARC, versiot 3.1, 3.2
• Solaris, versiot 10, 11.2
• MySQL Connectors, versiot 5.1.34 ja aiemmat versiot
• MySQL Enterprise Monitor, versiot 2.3.19 ja aiemmat versiot, 3.0.18 ja aiemmat versiot
• MySQL Server, versiot 5.5.42 ja aiemmat versiot, 5.6.23 ja aiemmat versiot
• MySQL Utilities, versiot 1.5.1 ja aiemmat versiot
• SQL Trace Analyzer, ennen versiota 12.1.11

Ratkaisu- ja rajoitusmahdollisuudet:

Päivitä haavoittuvat ohjelmistot korjattuihin versioihin valmistajan ohjeiden mukaisesti.

Java:n käyttäjät voivat varmistaa käytössä olevan versionsa osoitteessa http://java.com/en/download/installed.jsp Kotitietokoneiden tai työasemien Java-ajoympäristön (Java JRE) tai Java JDK:n käyttäjät voivat käyttää Javan automaattipäivitystoimintoa tai ladata uuden version Oraclen sivuilta osoitteesta http://www.oracle.com/technetwork/java/javase/downloads/index.html.

Lisätietoa:

•  
• http://www.oracle.com/technetwork/topics/security/cpuapr2015-2365600.html
• https://blogs.oracle.com/security/
•  
•  
• CVE-2013-4286, CVE-2013-4545, CVE-2014-0050, 
• CVE-2014-0094, CVE-2014-0112, CVE-2014-0113, 
• CVE-2014-0116, CVE-2014-1568, CVE-2014-3566, 
• CVE-2014-3569, CVE-2014-3570, CVE-2014-3571,
• CVE-2014-3572, CVE-2014-7809, CVE-2014-8275, 
• CVE-2015-0204, CVE-2015-0205, CVE-2015-0206, 
• CVE-2015-0235, CVE-2015-0405, CVE-2015-0423, 
• CVE-2015-0433, CVE-2015-0438, CVE-2015-0439,
• CVE-2015-0440, CVE-2015-0441, CVE-2015-0447, 
• CVE-2015-0448, CVE-2015-0449, CVE-2015-0450, 
• CVE-2015-0451, CVE-2015-0452, CVE-2015-0453, 
• CVE-2015-0455, CVE-2015-0456, CVE-2015-0457,
•  
•  
• CVE-2015-0458, CVE-2015-0459, CVE-2015-0460, 
• CVE-2015-0461, CVE-2015-0462, CVE-2015-0463, 
• CVE-2015-0464, CVE-2015-0465, CVE-2015-0466, 
• CVE-2015-0469, CVE-2015-0470, CVE-2015-0471,
• CVE-2015-0472, CVE-2015-0473, CVE-2015-0474, 
• CVE-2015-0475, CVE-2015-0476, CVE-2015-0477, 
• CVE-2015-0478, CVE-2015-0479, CVE-2015-0480, 
• CVE-2015-0482, CVE-2015-0483, CVE-2015-0484,
• CVE-2015-0485, CVE-2015-0486, CVE-2015-0487, 
• CVE-2015-0488, CVE-2015-0489, CVE-2015-0490, 
• CVE-2015-0491, CVE-2015-0492, CVE-2015-0493, 
• CVE-2015-0494, CVE-2015-0495, CVE-2015-0496,
• CVE-2015-0497, CVE-2015-0498, CVE-2015-0499, 
•  
•  
• CVE-2015-0500, CVE-2015-0501, CVE-2015-0502, 
• CVE-2015-0503, CVE-2015-0504, CVE-2015-0505, 
• CVE-2015-0506, CVE-2015-0507, CVE-2015-0508,
• CVE-2015-0509, CVE-2015-0510, CVE-2015-0511, 
• CVE-2015-2565, CVE-2015-2566, CVE-2015-2567, 
• CVE-2015-2568, CVE-2015-2570, CVE-2015-2571, 
• CVE-2015-2572, CVE-2015-2573, CVE-2015-2574,
• CVE-2015-2575, CVE-2015-2576, CVE-2015-2577, 
• CVE-2015-2578, CVE-2015-2579
•