Oracle on julkaissut tammikuun ohjelmistopäivitykset. Päivitykset korjaavat 169 ohjelmistohaavoittuvuutta kymmenissä ohjelmistoissa.

Tammikuun päivityksissä korjataan 169 ohjelmistohaavoittuvuutta. Useita haavoittuvuuksia voidaan hyväksikäyttää verkon yli ilman kirjautumista. Haavoittuvuudet mahdollistavat myös hyökkääjän ohjelmakoodin suorittamisen kohdejärjestelmässä. Oracle Java SE:ssä on korjattu 19 haavoittuvuutta.

Päivityksillä Oracle lisäksi poistaa POODLE-haavoittuvuudelle alttiin SSL 3.0 -salausprotokollan käytöstä Java SE:ssä.

Tarkemmat tiedot korjauksista ovat saatavilla Oraclen tiedotteessa.

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset
• Verkon aktiivilaitteet
• Matkaviestinjärjestelmät
• Sulautetut järjestelmät
• Muut

Kohde

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset
• Verkon aktiivilaitteet
• Sulautetut järjestelmät

Hyökkäystapa

• Paikallisesti
• Ilman kirjautumista
• Etäkäyttö
• Ilman käyttäjän toimia

Hyväksikäyttö

• Komentojen mielivaltainen suorittaminen
• Käyttövaltuuksien laajentaminen
• Tietojen muokkaaminen
• Luottamuksellisen tiedon hankkiminen
• Palvelunestohyökkäys
• Suojauksen ohittaminen

Ratkaisu

• Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot:

• Oracle Database Server, version(s) 11.1.0.7, 11.2.0.3, 11.2.0.4, 12.1.0.1, 12.1.0.2
• Oracle Fusion Middleware, version(s) 10.1.3.5, 11.1.1.7, 11.1.2.1, 11.1.2.2, 12.1.2, 12.1.3
• Oracle Fusion Applications, versions 11.1.2 through 11.1.9
• Oracle Access Manager, version(s) 11.1.1.5, 11.1.1.7, 11.1.2.1, 11.1.2.2
• Oracle Adaptive Access Manager, version(s) 11.1.1.5, 11.1.1.7, 11.1.2.1, 11.1.2.2
• Oracle BI Publisher, version(s) 10.1.3.4.2, 11.1.1.7
• Oracle Business Intelligence Enterprise Edition, version(s) 10.1.3.4.2, 11.1.1.7
• Oracle Containers for J2EE, version(s) 10.1.3.5
• Oracle Directory Server Enterprise Edition, version(s) 7.0, 11.1.1.7
• Oracle Exalogic Infrastructure, version(s) 2.0.6.2.0 (for all X2-2, X3-2, X4-2)
• Oracle Forms, version(s) 11.1.1.7, 11.1.2.1, 11.1.2.2
• Oracle GlassFish Server, version(s) 3.0.1, 3.1.2
• Oracle HTTP Server, version(s) 10.1.3.5.0, 11.1.1.7.0, 12.1.2.0, 12.1.3.0
• Oracle OpenSSO, version(s) 8.0 Update 2 Patch 5
• Oracle Real-Time Decision Server, version(s) 11.1.1.7, RTD Platform 3.0.x
• Oracle Reports Developer, version(s) 11.1.1.7, 11.1.2.2
• Oracle SOA Suite, version(s) 11.1.1.7, 12.1.3.0
• Oracle Waveset, version(s) 8.1.1
• Oracle WebCenter Content, version(s) 11.1.1.8.0
• Oracle WebLogic Portal, version(s) 10.0.1.0, 10.2.1.0, 10.3.6.0
• Oracle WebLogic Server, version(s) 10.0.2.0, 10.3.6.0, 12.1.1.0, 12.1.2.0, 12.1.3.0
• Enterprise Manager Base Platform, version(s) 12.1.0.3, 12.1.0.4
• Enterprise Manager Ops Center, version(s) 11.1, 11.1.3, 12.1, 12.1.4, 12.2
• Oracle E-Business Suite, version(s) 11.5.10.2, 12.0.4, 12.0.5, 12.0.6, 12.1.1, 12.1.2, 12.1.3, 12.2.2, 12.2.3, 12.2.4
• Oracle Agile PLM, version(s) 9.3.3
• Oracle Agile PLM for Process, version(s) 6.1.0.3
• Oracle Transportation Management, version(s) 6.1, 6.2, 6.3.0, 6.3.1, 6.3.2, 6.3.3, 6.3.4, 6.3.5
• PeopleSoft Enterprise HRMS, version(s) 9.1
• PeopleSoft Enterprise PeopleTools, version(s) 8.52, 8.53, 8.54
• JD Edwards EnterpriseOne Tools, version(s) 9.1.5
• Oracle Enterprise Asset Management, version(s) 8.1.1, 8.2.2
• Siebel Applications, version(s) 8.1.1, 8.2.2
• Oracle iLearning, version(s) 6.0, 6.1
• Oracle Communications Diameter Signaling Router, version(s) 3.x, 4.x, 5.0
• Oracle Communications Messaging Server, version(s) 7.0.5.33.0 and prior
• Oracle MICROS Retail, version(s) Xstore: 3.2.1, 3.4.2, 3.5.0, 4.0.1, 4.5.1, 4.8.0, 5.0.3, 5.5.3, 6.0.6, 6.5.2
• Oracle Healthcare Master Person Index, version(s) 1.x, 2.x
• Oracle Java SE, version(s) 5.0u75, 6u85, 7u72, 8u25
• Oracle Java SE Embedded, version(s) 7u71, 8u6
• Oracle JRockit, version(s) R27.8.4, R28.3.4
• Fujitsu M10-1, M10-4, M10-4S Servers, version(s) prior to XCP 2240
• Integrated Lights Out Manager(ILOM), version(s) prior to 3.2.4
• Solaris, version(s) 10, 11
• Solaris Cluster, version(s) 3.3, 4.1
• SPARC Enterprise M3000, M4000, M5000, M8000, M9000 Servers, version(s) before XCP 1119
• Oracle Secure Global Desktop, version(s) 4.63, 4.71, 5.0, 5.1
• Oracle VM VirtualBox, version(s) prior to 3.2.26, 4.0.28, 4.1.36, 4.2.28, 4.3.20
• MySQL Server, version(s) 5.5.40 and prior, 5.6.21 and prior

Ratkaisu- ja rajoitusmahdollisuudet:

Päivitä haavoittuvat ohjelmistot korjattuihin versioihin valmistajan ohjeiden mukaisesti.

Java:n käyttäjät voivat varmistaa käytössä olevan versionsa osoitteessa http://java.com/en/download/installed.jsp

Lisätietoa:

http://www.oracle.com/technetwork/topics/security/cpujan2015-1972971.html

Päivityshistoria

21.01.2015 klo 10:43

Adobe on julkaissut päivityksen APSB15-01, joka korjaa yhdeksän haavoittuvuutta Flash Player ja AIR -ohjelmistoissa.

Osa korjatuista haavoittuvuuksista on luokiteltu kriittisiksi ja ne voivat mahdollistaa kohdejärjestelmän haltuunoton.

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset
• Verkon aktiivilaitteet
• Matkaviestinjärjestelmät
• Sulautetut järjestelmät
• Muut

Kohde

• Työasemat ja loppukäyttäjäsovellukset

Hyökkäystapa

• Ilman kirjautumista
• Etäkäyttö

Hyväksikäyttö

• Komentojen mielivaltainen suorittaminen
• Luottamuksellisen tiedon hankkiminen
• Palvelunestohyökkäys

Ratkaisu

• Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot:

Katso tarkemmat tiedot haavoittuvista tuotteista ja versioista Adoben tiedotteesta.

Ratkaisu- ja rajoitusmahdollisuudet:

Päivitä haavoittuvat ohjelmat korjattuihin versioihin.

Lisätietoa:

http://helpx.adobe.com/security/products/flash-player/apsb15-01.html

CVE-2015-0301

CVE-2015-0302

CVE-2015-0303

CVE-2015-0304

CVE-2015-0305

CVE-2015-0306

CVE-2015-0307

CVE-2015-0308

CVE-2015-0309

Yksi päivityksistä (MS15-002) on luokiteltu kriittiseksi ja loput tärkeiksi. Yhtä haavoittuvuuksista on käytetty kohdistetuissa hyökkäyksissä.

Kriittinen päivitys korjaa haavoittuvuuden Windows Telnet -palvelussa. Haavoittuvuutta hyväksikäyttämällä voi olla mahdollista suorittaa haitallista ohjelmakoodia haavoittuvassa kohdejärjestelmässä lähettämällä siihen sopivasti muotoiltuja paketteja. Muita haavoittuvuuksia hyväksikäyttämällä palvelunestotilan aiheuttaminen, käyttöoikeuksien laajentaminen tai erilaisten tietoturvakontrollien ohittaminen voi olla mahdollista.

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset
• Verkon aktiivilaitteet
• Matkaviestinjärjestelmät
• Sulautetut järjestelmät
• Muut

Kohde

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset
• Matkaviestinjärjestelmät

Hyökkäystapa

• Paikallisesti
• Ilman kirjautumista
• Etäkäyttö
• Ilman käyttäjän toimia

Hyväksikäyttö

• Komentojen mielivaltainen suorittaminen
• Käyttövaltuuksien laajentaminen
• Palvelunestohyökkäys
• Suojauksen ohittaminen

Ratkaisu

• Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot:

• Microsoftin käyttöjärjestelmien eri versiot.
• Katso tarkemmat tiedot haavoittuvista tuote- ja versiotiedoista Microsoftin tiedotteesta.

Ratkaisu- ja rajoitusmahdollisuudet:

Haavoittuvien ohjelmistojen päivitys valmistajan ohjeiden mukaisesti.

Lisätietoa:

https://technet.microsoft.com/en-us/library/security/ms15-jan.aspx

CVE-2015-0001 

CVE-2015-0002

CVE-2015-0004

CVE-2015-0006

CVE-2015-0011

CVE-2015-0014

CVE-2015-0015

CVE-2015-0016

Päivityshistoria

• 14.01.2015 klo 08:24
  Julkaistu